Sujet Précédent Sujet Suivant

Problème après avoir supprimé d'un rogue

Résolu/Fermé
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009 - 30 août 2009 à 20:01
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 7 sept. 2009 à 20:45
Bonjour,

Après avoir supprimé Windows Police Pro (rogue), j'ai redémarrer l'ordinateur et au démarrage plusieurs messages d'erreur apparaissent mais les erreur n'apparaissent pas seulement au démarrage, ils apparaissent aussi quand je veut ouvrir un programme quelconque par exemple :

Pour Mozilla Firefox:

_________________________________________
|_________________Erreur__________________|
| |
| ''C:\Program Files\Mozilla FireFox\firefox.exe'' |
| __________ |
| |____OK___| |
|________________________________________|


En cliquant sur le ''OK'' le même message réapparait 2 autres fois et firefox s'ouvre.

Je ne sais pas si c'est une erreur grave puisque j'arrive quand même à ouvrir les programme malgré les messages d'erreurs, mais de toute façon ce n'est pas normal que ces messages apparaissent.

Merci d'avance!!

Anthonyz

53 réponses

Réponse 1 / 53
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
30 août 2009 à 20:17
Salut,


déjà tu as créé 2 sujets pour le même prb !
ici > https://forums.commentcamarche.net/forum/affich-8141267-virus-ou-spyware#p8141561
et ici > https://forums.commentcamarche.net/forum/affich-6846200-warning-security-report


et malheureusement les deux helpers que tu as monopolisés ne s'en sont pas apperçu ...


si tu as un soucis qui persiste, ce qui n'est pas étonnant vu que tu as ouverts plusieurs topics , c'est sur l'un d'eux que tu dois le dire !


ce sujet est un triplon et sera donc fermé !



merci de ne pas en ouvrir d'autre ! ... ^^"


A+



0
Réponse 2 / 53
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009
30 août 2009 à 20:42
Euh le problème n'est pas le même que les deux autres parce que premièrement ce n'est pas sur le meme ordinateur et deuxièmement les deux problèmes précédent ont été résolu!
0
Réponse 3 / 53
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
30 août 2009 à 21:09
re,


autant pour moi ... si c'est vraiment un autre PC , on va voir de quoi il retourne exactement ... ^^




1- Dis moi quels sont les outils que tu as utilisés pour supprimer la bestiole ... et si tu as des rapports , poste les stp ...


=======================

2- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


0
Réponse 4 / 53
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009
30 août 2009 à 21:32
1- Bon pour enlever Windows Police PRO j'ai tout simplement supprimer le fichier de Windows Police PRO en mode sans échec parce qu'en mode normal je ne pouvait ni me connecter sur internet ni ouvre un programme quelconque.

2- Voici le lien demandé :

http://www.cijoint.fr/cjlink.php?file=cj200908/cijmm5acLr.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 53
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
30 août 2009 à 22:05
re,


très infecté ! ...


/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .




quelques vérifes et on attaque le ménage ...




1- Télécharge RHosts (de SiRi) sur ton bureau :

http://siri.urz.free.fr/Softs/RHosts.exe
ou http://siri.urz.free.fr/RHosts.php


Double-cliquer dessus pour le lancer .

-> cliquer sur " Restore original Hosts " et attendre un court instant ...

( ps : c'est normal que rien ne se passe de particulier !... )

Puis passe à la suite ...

=================


2- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )




1- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\Documents and Settings\All Users\Application Data\k1154972173.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

C:\WINDOWS\System32\c00E3CFA.mat
C:\WINDOWS\system32\Drivers\EPLPDX02.SYS
C:\WINDOWS\eReg.dat
C:\WINDOWS\System32\xlive.dll
C:\WINDOWS\System32\wispex.html
C:\WINDOWS\System32\sonhelp.htm
C:\WINDOWS\System32\desote.exe
C:\WINDOWS\system32\drivers\oreans32.sys


Poste moi donc ces 9 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...



0
Réponse 6 / 53
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009
30 août 2009 à 22:27
petite question :

est-ce que je les upload dans cijoint.fr ou je les copie et colle directement don mon message?
0
Réponse 7 / 53
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
30 août 2009 à 22:52
tu peux copier/coller un à un dans le forum .... ^^


0
Réponse 8 / 53
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009
30 août 2009 à 23:09
petite question :

est-ce que je les upload dans cijoint.fr ou je les copie et colle directement don mon message?
0
Réponse 9 / 53
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009
30 août 2009 à 23:15
Voici les rapport sauf celui de C:\WINDOWS\System32\c00E3CFA.mat qui est introuvable


C:\Documents and Settings\All Users\Application Data\k1154972173.exe

Fichier k1154972173.exe reçu le 2009.08.30 20:13:21 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/41 (12.2%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.30 Trojan.Win32.StartPage.drb!A2
AhnLab-V3 5.0.0.2 2009.08.29 -
AntiVir 7.9.1.7 2009.08.30 -
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.30 -
Avast 4.8.1335.0 2009.08.30 -
AVG 8.5.0.406 2009.08.30 -
BitDefender 7.2 2009.08.30 -
CAT-QuickHeal 10.00 2009.08.29 -
ClamAV 0.94.1 2009.08.30 -
Comodo 2124 2009.08.30 -
DrWeb 5.0.0.12182 2009.08.30 -
eSafe 7.0.17.0 2009.08.30 Suspicious File
eTrust-Vet 31.6.6707 2009.08.28 -
F-Prot 4.5.1.85 2009.08.29 -
F-Secure 8.0.14470.0 2009.08.30 -
Fortinet 3.120.0.0 2009.08.30 -
GData 19 2009.08.30 -
Ikarus T3.1.1.68.0 2009.08.30 -
Jiangmin 11.0.800 2009.08.30
K7AntiVirus 7.10.831 2009.08.29 -
Kaspersky 7.0.0.125 2009.08.30 -
McAfee 5725 2009.08.30 -
McAfee+Artemis 5725 2009.08.30 Artemis!0EAB1BC3C70C
McAfee-GW-Edition 6.8.5 2009.08.30 -
Microsoft 1.5005 2009.08.30 -
NOD32 4382 2009.08.30 -
Norman 2009.08.29 -
nProtect 2009.1.8.0 2009.08.30 -
Panda 10.0.2.2 2009.08.30 Suspicious file
PCTools 4.4.2.0 2009.08.30 -
Prevx 3.0 2009.08.30 -
Rising 21.44.61.00 2009.08.30 -
Sophos 4.45.0 2009.08.30 -
Sunbelt 3.2.1858.2 2009.08.29 -
Symantec 1.4.4.12 2009.08.30 -
TheHacker 6.3.4.3.391 2009.08.29 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.30 -
ViRobot 2009.8.28.1907 2009.08.28 -
VirusBuster 4.6.5.0 2009.08.30 -

Information additionnelle
File size: 454420 bytes
MD5...: 0eab1bc3c70c8a384e6ae000d5fb245b
SHA1..: 16445bf56c1be5d63652a072b0370e0c38b96fe5
SHA256: d6f601b297e5b3cbb6d3dc142bd341c37684e1ba98cf0a526b146f55d915258a
ssdeep: 12288:LHLUMuiv9RgfSjAzRty7zO/lO/Ann6BRYO3G4tb:ftARh4iKR1lN
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xaf1e0
timedatestamp.....: 0x4951fa17 (Wed Dec 24 09:00:07 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6f000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x70000 0x40000 0x3f400 7.93 5c049c3f212fd5833e6c6ba5e4dd45cb
.rsrc 0xb0000 0x8000 0x7c00 4.74 d8323f69401cb696cf6753619c0bbe4c

( 16 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: AddAce
> COMCTL32.dll: ImageList_Remove
> COMDLG32.dll: GetSaveFileNameW
> GDI32.dll: BitBlt
> MPR.dll: WNetGetConnectionW
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> PSAPI.DLL: EnumProcesses
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> USERENV.dll: LoadUserProfileW
> VERSION.dll: VerQueryValueW
> WININET.dll: FtpOpenFileW
> WINMM.dll: timeGetTime
> WSOCK32.dll: -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
packers (Kaspersky): PE_Patch.UPX, UPX



C:\WINDOWS\system32\Drivers\EPLPDX02.SYS

Fichier EPLPDX02.SYS reçu le 2009.08.30 20:30:51 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.30 -
AhnLab-V3 5.0.0.2 2009.08.29 -
AntiVir 7.9.1.7 2009.08.30 -
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.30 -
Avast 4.8.1335.0 2009.08.30 -
AVG 8.5.0.406 2009.08.30 -
BitDefender 7.2 2009.08.30 -
CAT-QuickHeal 10.00 2009.08.29 -
ClamAV 0.94.1 2009.08.30 -
Comodo 2124 2009.08.30 -
DrWeb 5.0.0.12182 2009.08.30 -
eSafe 7.0.17.0 2009.08.30 -
eTrust-Vet 31.6.6707 2009.08.28 -
F-Prot 4.5.1.85 2009.08.29 -
F-Secure 8.0.14470.0 2009.08.30 -
Fortinet 3.120.0.0 2009.08.30 -
GData 19 2009.08.30 -
Ikarus T3.1.1.68.0 2009.08.30 -
Jiangmin 11.0.800 2009.08.30 -
K7AntiVirus 7.10.831 2009.08.29 -
Kaspersky 7.0.0.125 2009.08.30 -
McAfee 5725 2009.08.30 -
McAfee+Artemis 5725 2009.08.30 -
McAfee-GW-Edition 6.8.5 2009.08.30 -
Microsoft 1.5005 2009.08.30 -
NOD32 4382 2009.08.30 -
Norman 2009.08.29 -
nProtect 2009.1.8.0 2009.08.30 -
Panda 10.0.2.2 2009.08.30 -
PCTools 4.4.2.0 2009.08.30 -
Prevx 3.0 2009.08.30 -
Rising 21.44.61.00 2009.08.30 -
Sophos 4.45.0 2009.08.30 -
Sunbelt 3.2.1858.2 2009.08.29 -
Symantec 1.4.4.12 2009.08.30 -
TheHacker 6.3.4.3.391 2009.08.29 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.30 -
ViRobot 2009.8.28.1907 2009.08.28 -
VirusBuster 4.6.5.0 2009.08.30 -

Information additionnelle
File size: 70084 bytes
MD5...: f9472131367d39435d750f5fa3d23582
SHA1..: edf75ab6251c285577416746d542316497724b3a
SHA256: ca2d948ea807b18f2ceaf1958c89428f408c5ba3e39549c0221196f8f31e0284
ssdeep: 768:/Z0Cmj22u3PBT1ZsXreMdGji0vR4ppKwiZYkXZzzlCbBqRblwqwK+rlLX97S
LPJ1:DiOlUJwPJIvhto9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9888
timedatestamp.....: 0x3b732167 (Thu Aug 09 23:48:55 2001)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2c0 0xf3c6 0xf3e0 6.30 3e75ce38d91509eedacb76056ef0e5f2
.rdata 0xf6a0 0x144 0x160 3.06 667184216d8e5addfba887aee8a0d2a3
.data 0xf800 0x31c 0x320 0.38 6941df1068547d8b66db59ee57195a8e
INIT 0xfb20 0x5e8 0x600 5.21 0d42881effe1f59f2ee75c5ef6fb7f27
.rsrc 0x10120 0x3d0 0x3e0 3.34 49f5169dea02e5669ec1aede02085b05
.reloc 0x10500 0x834 0x840 6.43 a482f43f34038b3c06b624ed37136d3a

( 2 imports )
> ntoskrnl.exe: IoGetDeviceObjectPointer, IoCancelIrp, KeReadStateEvent, IoConnectInterrupt, KeInitializeDpc, IoReportResourceForDetection, KeInitializeEvent, _allmul, IoQueryDeviceDescription, RtlCompareUnicodeString, RtlQueryRegistryValues, KeResetEvent, IoAllocateAdapterChannel, ZwUnmapViewOfSection, ZwClose, ObfDereferenceObject, IoBuildDeviceIoControlRequest, ZwOpenSection, MmBuildMdlForNonPagedPool, IoAllocateMdl, KeInsertQueueDpc, KeSetEvent, DbgBreakPoint, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, IofCompleteRequest, MmGetPhysicalAddress, IoDeleteSymbolicLink, IoFreeMdl, IoDisconnectInterrupt, IofCallDriver, KeWaitForSingleObject, ExAllocatePoolWithTag, DbgPrint, IoGetConfigurationInformation, RtlInitUnicodeString, RtlIntegerToUnicodeString, RtlAppendUnicodeStringToString, ExFreePool, KeDelayExecutionThread, KeQuerySystemTime, ZwMapViewOfSection, ObReferenceObjectByHandle
> HAL.dll: HalFreeCommonBuffer, WRITE_PORT_UCHAR, HalReadDmaCounter, HalGetAdapter, HalAllocateCommonBuffer, IoFlushAdapterBuffers, IoFreeAdapterChannel, IoMapTransfer, KeGetCurrentIrql, HalGetInterruptVector, KfRaiseIrql, KfLowerIrql

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)



C:\WINDOWS\eReg.dat

Fichier eReg.dat reçu le 2009.08.30 20:34:17 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.30 -
AhnLab-V3 5.0.0.2 2009.08.29 -
AntiVir 7.9.1.7 2009.08.30 -
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.30 -
Avast 4.8.1335.0 2009.08.30 -
AVG 8.5.0.406 2009.08.30 -
BitDefender 7.2 2009.08.30 -
CAT-QuickHeal 10.00 2009.08.29 -
ClamAV 0.94.1 2009.08.30 -
Comodo 2124 2009.08.30 -
DrWeb 5.0.0.12182 2009.08.30 -
eSafe 7.0.17.0 2009.08.30 -
eTrust-Vet 31.6.6707 2009.08.28 -
F-Prot 4.5.1.85 2009.08.29 -
F-Secure 8.0.14470.0 2009.08.30 -
Fortinet 3.120.0.0 2009.08.30 -
GData 19 2009.08.30 -
Ikarus T3.1.1.68.0 2009.08.30 -
Jiangmin 11.0.800 2009.08.30 -
K7AntiVirus 7.10.831 2009.08.29 -
Kaspersky 7.0.0.125 2009.08.30 -
McAfee 5725 2009.08.30 -
McAfee+Artemis 5725 2009.08.30 -
McAfee-GW-Edition 6.8.5 2009.08.30 -
Microsoft 1.5005 2009.08.30 -
NOD32 4382 2009.08.30 -
Norman 2009.08.29 -
nProtect 2009.1.8.0 2009.08.30 -
Panda 10.0.2.2 2009.08.30 -
PCTools 4.4.2.0 2009.08.30 -
Prevx 3.0 2009.08.30 -
Rising 21.44.61.00 2009.08.30 -
Sophos 4.45.0 2009.08.30 -
Sunbelt 3.2.1858.2 2009.08.29 -
Symantec 1.4.4.12 2009.08.30 -
TheHacker 6.3.4.3.391 2009.08.29 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.30 -
ViRobot 2009.8.28.1907 2009.08.28 -
VirusBuster 4.6.5.0 2009.08.30 -

Information additionnelle
File size: 502 bytes
MD5...: 4c4ed1ba4bd380f7e51f62e25278aa36
SHA1..: 7d522a43999655e48cc214b72f15a9c1dbd7b1aa
SHA256: b7ff4d6bb7df4ca2efecddfd3aa486cf91d9f130040ef572c45254587b7af397
ssdeep: 12:ydifH0gBXmMeJMsfiD72msSI5l1gOfmEYpXXMXCx:miZBWMsfimmsxgymxpHM
XCx
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic INI configuration (100.0%)



C:\WINDOWS\System32\xlive.dll

Fichier xlive.dll reçu le 2009.08.30 20:39:47 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.30 -
AhnLab-V3 5.0.0.2 2009.08.29 -
AntiVir 7.9.1.7 2009.08.30 -
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.30 -
Avast 4.8.1335.0 2009.08.30 -
AVG 8.5.0.406 2009.08.30 -
BitDefender 7.2 2009.08.30 -
CAT-QuickHeal 10.00 2009.08.29 -
ClamAV 0.94.1 2009.08.30 -
Comodo 2124 2009.08.30 -
DrWeb 5.0.0.12182 2009.08.30 -
eSafe 7.0.17.0 2009.08.30 -
eTrust-Vet 31.6.6707 2009.08.28 -
F-Prot 4.5.1.85 2009.08.29 -
F-Secure 8.0.14470.0 2009.08.30 -
Fortinet 3.120.0.0 2009.08.30 -
GData 19 2009.08.30 -
Ikarus T3.1.1.68.0 2009.08.30 -
Jiangmin 11.0.800 2009.08.30 -
K7AntiVirus 7.10.831 2009.08.29 -
Kaspersky 7.0.0.125 2009.08.30 -
McAfee 5725 2009.08.30 -
McAfee+Artemis 5725 2009.08.30 -
McAfee-GW-Edition 6.8.5 2009.08.30 -
Microsoft 1.5005 2009.08.30 -
NOD32 4382 2009.08.30 -
Norman 2009.08.29 -
nProtect 2009.1.8.0 2009.08.30 -
Panda 10.0.2.2 2009.08.30 -
PCTools 4.4.2.0 2009.08.30 -
Prevx 3.0 2009.08.30 -
Rising 21.44.61.00 2009.08.30 -
Sophos 4.45.0 2009.08.30 -
Sunbelt 3.2.1858.2 2009.08.29 -
Symantec 1.4.4.12 2009.08.30 -
TheHacker 6.3.4.3.391 2009.08.29 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.30 -
ViRobot 2009.8.28.1907 2009.08.28 -
VirusBuster 4.6.5.0 2009.08.30 -

Information additionnelle
File size: 15308424 bytes
MD5...: cb0544acd41e7b8b5caba5779303422d
SHA1..: 0bc31d0132ea9a4feac8a5a93fba6cabb1243c87
SHA256: 1ed5bc9a846a88f5a683f4c732e93cc8057f40901e71a118a02f9fe7f1c544a2
ssdeep: 196608:2PbQKxxYHnzSLApPizbMl4ofg4PNkkoloZReViwQQerTo:oxxYTNdi4xo
41Klo/SiU
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)



C:\WINDOWS\System32\wispex.html

Fichier wispex.html reçu le 2009.08.30 20:44:20 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 3/41 (7.32%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.30 -
AhnLab-V3 5.0.0.2 2009.08.29 HTML/Xema
AntiVir 7.9.1.7 2009.08.30 -
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.30 -
Avast 4.8.1335.0 2009.08.30 -
AVG 8.5.0.406 2009.08.30 -
BitDefender 7.2 2009.08.30 -
CAT-QuickHeal 10.00 2009.08.29 -
ClamAV 0.94.1 2009.08.30 -
Comodo 2124 2009.08.30 -
DrWeb 5.0.0.12182 2009.08.30 -
eSafe 7.0.17.0 2009.08.30 -
eTrust-Vet 31.6.6707 2009.08.28 -
F-Prot 4.5.1.85 2009.08.29 -
F-Secure 8.0.14470.0 2009.08.30 -
Fortinet 3.120.0.0 2009.08.30 -
GData 19 2009.08.30 -
Ikarus T3.1.1.68.0 2009.08.30 -
Jiangmin 11.0.800 2009.08.30 -
K7AntiVirus 7.10.831 2009.08.29 -
Kaspersky 7.0.0.125 2009.08.30 -
McAfee 5725 2009.08.30 -
McAfee+Artemis 5725 2009.08.30 -
McAfee-GW-Edition 6.8.5 2009.08.30 -
Microsoft 1.5005 2009.08.30 Trojan:HTML/FakeScanti
NOD32 4382 2009.08.30 Win32/Adware.WinAntiVirus
Norman 2009.08.29 -
nProtect 2009.1.8.0 2009.08.30 -
Panda 10.0.2.2 2009.08.30 -
PCTools 4.4.2.0 2009.08.30 -
Prevx 3.0 2009.08.30 -
Rising 21.44.61.00 2009.08.30 -
Sophos 4.45.0 2009.08.30 -
Sunbelt 3.2.1858.2 2009.08.29 -
Symantec 1.4.4.12 2009.08.30 -
TheHacker 6.3.4.3.391 2009.08.29 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.30 -
ViRobot 2009.8.28.1907 2009.08.28 -
VirusBuster 4.6.5.0 2009.08.30 -

Information additionnelle
File size: 8547 bytes
MD5...: 50cc3c16c8d1a01fa351a7026e1ffcfb
SHA1..: b2e9d99b3ade1e249af11d289db4496be8cc0f3f
SHA256: 86e5251d8e2441f22f25809a63c92d109f86c18225409c1c22bbfebccaca4714
ssdeep: 96:I1yV1mStnntWtrtYt1Nn3sz0kbfj73Xt203qmNvPt2X+Ts18C05q+1t:ayVpN
gxGVn3Y0+X3XE03xvPEX+XC05B
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: HyperText Markup Language with DOCTYPE (80.6%)
HyperText Markup Language (19.3%)



C:\WINDOWS\System32\sonhelp.htm

Fichier sonhelp.htm reçu le 2009.08.30 20:49:16 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.30 -
AhnLab-V3 5.0.0.2 2009.08.29 -
AntiVir 7.9.1.7 2009.08.30 -
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.30 -
Avast 4.8.1335.0 2009.08.30 -
AVG 8.5.0.406 2009.08.30 -
BitDefender 7.2 2009.08.30 -
CAT-QuickHeal 10.00 2009.08.29 -
ClamAV 0.94.1 2009.08.30 -
Comodo 2124 2009.08.30 -
DrWeb 5.0.0.12182 2009.08.30 -
eSafe 7.0.17.0 2009.08.30 -
eTrust-Vet 31.6.6707 2009.08.28 -
F-Prot 4.5.1.85 2009.08.29 -
F-Secure 8.0.14470.0 2009.08.30 -
Fortinet 3.120.0.0 2009.08.30 -
GData 19 2009.08.30 -
Ikarus T3.1.1.68.0 2009.08.30 -
Jiangmin 11.0.800 2009.08.30 -
K7AntiVirus 7.10.831 2009.08.29 -
Kaspersky 7.0.0.125 2009.08.30 -
McAfee 5725 2009.08.30 -
McAfee+Artemis 5725 2009.08.30 -
McAfee-GW-Edition 6.8.5 2009.08.30 -
Microsoft 1.5005 2009.08.30 -
NOD32 4382 2009.08.30 -
Norman 2009.08.29 -
nProtect 2009.1.8.0 2009.08.30 -
Panda 10.0.2.2 2009.08.30 -
PCTools 4.4.2.0 2009.08.30 -
Prevx 3.0 2009.08.30 -
Rising 21.44.61.00 2009.08.30 -
Sophos 4.45.0 2009.08.30 -
Sunbelt 3.2.1858.2 2009.08.29 -
Symantec 1.4.4.12 2009.08.30 -
TheHacker 6.3.4.3.391 2009.08.29 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.30 -
ViRobot 2009.8.28.1907 2009.08.28 -
VirusBuster 4.6.5.0 2009.08.30 -

Information additionnelle
File size: 88 bytes
MD5...: 135bb903383a56ab1f741c07524477f2
SHA1..: e2c90da61b374a5b81c0bbba0ac50d6df5ec3dd2
SHA256: 15f6c1761f56da122d56a02a6c2f306263d0a3b6d4411ab7982f5b62edf34aa0
ssdeep: 3:oslH1MARm5Ipa2A8x5AkRMQbYMG+fyEHVxSHon:osEARm5Ua2AY57YePHV4In
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!



C:\WINDOWS\System32\desote.exe

Fichier desote.exe reçu le 2009.08.30 20:52:40 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 6/40 (15%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.30 -
AhnLab-V3 5.0.0.2 2009.08.29 -
AntiVir 7.9.1.7 2009.08.30 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.30 -
Avast 4.8.1335.0 2009.08.30 -
AVG 8.5.0.406 2009.08.30 -
BitDefender 7.2 2009.08.30 -
CAT-QuickHeal 10.00 2009.08.29 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.08.30 -
Comodo 2124 2009.08.30 -
DrWeb 5.0.0.12182 2009.08.30 -
eTrust-Vet 31.6.6707 2009.08.28 -
F-Prot 4.5.1.85 2009.08.29 -
F-Secure 8.0.14470.0 2009.08.30 -
Fortinet 3.120.0.0 2009.08.30 -
GData 19 2009.08.30 -
Ikarus T3.1.1.68.0 2009.08.30 -
Jiangmin 11.0.800 2009.08.30 -
K7AntiVirus 7.10.831 2009.08.29 -
Kaspersky 7.0.0.125 2009.08.30 -
McAfee 5725 2009.08.30 -
McAfee+Artemis 5725 2009.08.30 Artemis!EDB08B57EA8F
McAfee-GW-Edition 6.8.5 2009.08.30 Heuristic.LooksLike.Win32.SuspiciousPE.I
Microsoft 1.5005 2009.08.30 -
NOD32 4382 2009.08.30 -
Norman 2009.08.29 -
nProtect 2009.1.8.0 2009.08.30 -
Panda 10.0.2.2 2009.08.30 -
PCTools 4.4.2.0 2009.08.30 Packed/Execryptor
Prevx 3.0 2009.08.30 -
Rising 21.44.61.00 2009.08.30 -
Sophos 4.45.0 2009.08.30 -
Sunbelt 3.2.1858.2 2009.08.29 -
Symantec 1.4.4.12 2009.08.30 -
TheHacker 6.3.4.3.391 2009.08.29 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.30 -
ViRobot 2009.8.28.1907 2009.08.28 -
VirusBuster 4.6.5.0 2009.08.30 Packed/Execryptor

Information additionnelle
File size: 440320 bytes
MD5...: edb08b57ea8fa51caf9d9d6d82a6bb89
SHA1..: 13526a2acd4e7c508cf90559e5dfec75c45d74ba
SHA256: 70e69f1219db5398887fd7271df4c9b6257c396d2efcfd6746ba931e93bc1878
ssdeep: 12288:iVAGJRQpCt2GjZ8xltvN9y2kmcpmWaRbO2rHDy:iVfR9jZQtvN9/kmVv3a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xd4356
timedatestamp.....: 0x4a97fbfd (Fri Aug 28 15:47:09 2009)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
l5vhjocd 0x2000 0x2000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x4000 0xa000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xe000 0xc000 0xc000 4.36 01cc53f51ed023db4f125222650e79a4
8l48evyb 0x1a000 0x5c000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
ph5.xq96 0x76000 0x5f000 0x5e37a 7.70 65f3eaf8ff8e91a0ee4b126b7f26448d
md.isb9f 0xd5000 0x1000 0x1000 7.95 a770688162cbd4abdc1b4ae61b623849

( 0 imports )

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
packers (Kaspersky): Execryptor
packers (F-Prot): EXECryptor
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)



C:\WINDOWS\system32\drivers\oreans32.sys

Fichier oreans32.sys reçu le 2009.08.30 20:57:39 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 1/41 (2.44%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.30 -
AhnLab-V3 5.0.0.2 2009.08.29 -
AntiVir 7.9.1.7 2009.08.30 -
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.30 -
Avast 4.8.1335.0 2009.08.30 -
AVG 8.5.0.406 2009.08.30 -
BitDefender 7.2 2009.08.30 -
CAT-QuickHeal 10.00 2009.08.29 -
ClamAV 0.94.1 2009.08.30 -
Comodo 2124 2009.08.30 -
DrWeb 5.0.0.12182 2009.08.30 -
eSafe 7.0.17.0 2009.08.30 -
eTrust-Vet 31.6.6707 2009.08.28 -
F-Prot 4.5.1.85 2009.08.29 -
F-Secure 8.0.14470.0 2009.08.30 -
Fortinet 3.120.0.0 2009.08.30 -
GData 19 2009.08.30 -
Ikarus T3.1.1.68.0 2009.08.30 -
Jiangmin 11.0.800 2009.08.30 -
K7AntiVirus 7.10.831 2009.08.29 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.08.30 -
McAfee 5725 2009.08.30 -
McAfee+Artemis 5725 2009.08.30 -
McAfee-GW-Edition 6.8.5 2009.08.30 -
Microsoft 1.5005 2009.08.30 -
NOD32 4382 2009.08.30 -
Norman 2009.08.29 -
nProtect 2009.1.8.0 2009.08.30 -
Panda 10.0.2.2 2009.08.30 -
PCTools 4.4.2.0 2009.08.30 -
Prevx 3.0 2009.08.30 -
Rising 21.44.61.00 2009.08.30 -
Sophos 4.45.0 2009.08.30 -
Sunbelt 3.2.1858.2 2009.08.29 -
Symantec 1.4.4.12 2009.08.30 -
TheHacker 6.3.4.3.391 2009.08.29 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.30 -
ViRobot 2009.8.28.1907 2009.08.28 -
VirusBuster 4.6.5.0 2009.08.30 -

Information additionnelle
File size: 33824 bytes
MD5...: 21dc5b289dce2d32a32baab7bcf29a6a
SHA1..: b843fe0e71b4475ee390d133fa14aa1d68d1ac0d
SHA256: 61083d38577a5b962654a4d9c3363078340f78f634bdc6aeeca5197b3309c3c5
ssdeep: 768:K2IgFD77DLi9iqsGOos0IYbj4z2Ap7+Ca3UHMxNK6ld:KMrDLulOx0IYyLpK
Ca3bNK6T
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7c32
timedatestamp.....: 0x44b34d9f (Tue Jul 11 07:05:03 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x280 0x7b04 0x7b20 7.02 b10c210e0ad3700d77156fba31b5568c
.rdata 0x7da0 0x8c 0xa0 2.66 f04b7a8f1ee608d9816c564065f8a1df
.data 0x7e40 0x27e 0x280 4.66 2a3238d69b8d16280943845c4331ed69
INIT 0x80c0 0x1ba 0x1c0 4.55 8b05f197002090e5c31c0a5dd6e04a07
.reloc 0x8280 0x182 0x1a0 5.31 0b0d29ab976e335eb23f6203139e771b

( 3 imports )
> NTOSKRNL.EXE: IoDeleteDevice, IoCreateSymbolicLink, IoDeleteSymbolicLink, IoCreateDevice, IofCompleteRequest, RtlZeroMemory, RtlInitUnicodeString, DbgPrint
> ntoskrnl.exe: KeServiceDescriptorTable, MmAllocateNonCachedMemory, MmIsAddressValid
> HAL.dll: KeLowerIrql, KeRaiseIrql

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=21dc5b289dce2d32a32baab7bcf29a6a' target='_blank'>https://www.symantec.com?md5=21dc5b289dce2d32a32baab7bcf29a6a</a>
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
0
Réponse 10 / 53
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009
30 août 2009 à 23:18
il semblerait qu'il y a un problème j'ai copié collé tous les rapports et ça à posté un ancien message
0
Réponse 11 / 53
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009
30 août 2009 à 23:20
Voici les rapport sauf celui de C:\WINDOWS\System32\c00E3CFA.mat qui est introuvable


C:\Documents and Settings\All Users\Application Data\k1154972173.exe

Fichier k1154972173.exe reçu le 2009.08.30 20:13:21 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/41 (12.2%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.30 Trojan.Win32.StartPage.drb!A2
AhnLab-V3 5.0.0.2 2009.08.29 -
AntiVir 7.9.1.7 2009.08.30 -
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.30 -
Avast 4.8.1335.0 2009.08.30 -
AVG 8.5.0.406 2009.08.30 -
BitDefender 7.2 2009.08.30 -
CAT-QuickHeal 10.00 2009.08.29 -
ClamAV 0.94.1 2009.08.30 -
Comodo 2124 2009.08.30 -
DrWeb 5.0.0.12182 2009.08.30 -
eSafe 7.0.17.0 2009.08.30 Suspicious File
eTrust-Vet 31.6.6707 2009.08.28 -
F-Prot 4.5.1.85 2009.08.29 -
F-Secure 8.0.14470.0 2009.08.30 -
Fortinet 3.120.0.0 2009.08.30 -
GData 19 2009.08.30 -
Ikarus T3.1.1.68.0 2009.08.30 -
Jiangmin 11.0.800 2009.08.30
K7AntiVirus 7.10.831 2009.08.29 -
Kaspersky 7.0.0.125 2009.08.30 -
McAfee 5725 2009.08.30 -
McAfee+Artemis 5725 2009.08.30 Artemis!0EAB1BC3C70C
McAfee-GW-Edition 6.8.5 2009.08.30 -
Microsoft 1.5005 2009.08.30 -
NOD32 4382 2009.08.30 -
Norman 2009.08.29 -
nProtect 2009.1.8.0 2009.08.30 -
Panda 10.0.2.2 2009.08.30 Suspicious file
PCTools 4.4.2.0 2009.08.30 -
Prevx 3.0 2009.08.30 -
Rising 21.44.61.00 2009.08.30 -
Sophos 4.45.0 2009.08.30 -
Sunbelt 3.2.1858.2 2009.08.29 -
Symantec 1.4.4.12 2009.08.30 -
TheHacker 6.3.4.3.391 2009.08.29 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.30 -
ViRobot 2009.8.28.1907 2009.08.28 -
VirusBuster 4.6.5.0 2009.08.30 -
Information additionnelle
File size: 454420 bytes
MD5...: 0eab1bc3c70c8a384e6ae000d5fb245b
SHA1..: 16445bf56c1be5d63652a072b0370e0c38b96fe5
SHA256: d6f601b297e5b3cbb6d3dc142bd341c37684e1ba98cf0a526b146f55d915258a
ssdeep: 12288:LHLUMuiv9RgfSjAzRty7zO/lO/Ann6BRYO3G4tb:ftARh4iKR1lN
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xaf1e0
timedatestamp.....: 0x4951fa17 (Wed Dec 24 09:00:07 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6f000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x70000 0x40000 0x3f400 7.93 5c049c3f212fd5833e6c6ba5e4dd45cb
.rsrc 0xb0000 0x8000 0x7c00 4.74 d8323f69401cb696cf6753619c0bbe4c

( 16 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: AddAce
> COMCTL32.dll: ImageList_Remove
> COMDLG32.dll: GetSaveFileNameW
> GDI32.dll: BitBlt
> MPR.dll: WNetGetConnectionW
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> PSAPI.DLL: EnumProcesses
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> USERENV.dll: LoadUserProfileW
> VERSION.dll: VerQueryValueW
> WININET.dll: FtpOpenFileW
> WINMM.dll: timeGetTime
> WSOCK32.dll: -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
packers (Kaspersky): PE_Patch.UPX, UPX
0
Réponse 12 / 53
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009
30 août 2009 à 23:28
le problème persiste je vais les mettre dans un lien comme au début:


http://www.cijoint.fr/cjlink.php?file=cj200908/cijdLM1PY7.txt

http://www.cijoint.fr/cjlink.php?file=cj200908/cijlMzo7ZI.txt

http://www.cijoint.fr/cjlink.php?file=cj200908/cij75Kidwj.txt

http://www.cijoint.fr/cjlink.php?file=cj200908/cij6A0UCBx.txt

http://www.cijoint.fr/cjlink.php?file=cj200908/cijDWDbLLV.txt

http://www.cijoint.fr/cjlink.php?file=cj200908/cijWmhM9eL.txt

http://www.cijoint.fr/cjlink.php?file=cj200908/cijAbrbyRy.txt

http://www.cijoint.fr/cjlink.php?file=cj200908/cij2mKBufY.txt
0
Réponse 13 / 53
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009
30 août 2009 à 23:30
AAHH finalement tous les messages qui n'apparaissaient pas sont apparrus.

Je suis vraiment très désolé =S .
0
Réponse 14 / 53
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
30 août 2009 à 23:46
Bien ...


on va attaquer le nettoyage de tout cela ... dans l'ordre :



1-Utilsation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> https://www.cjoint.com/?iExUEnoYVr


Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...



===========================

2- Télécharge MalwareByte's :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Rapide" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse ...


===========================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
Réponse 15 / 53
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009
31 août 2009 à 00:44
1- ZHPFix v1.12.10 by Nicolas Coolman - Rapport de suppression du 2009-08-30 17:58:30
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\Documents and Settings\All Users\Application Data\k1154972173.exe => Quarantined and Deleted successfully
C:\WINDOWS\svchasts.exe => Quarantined and Deleted successfully

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: ICQSys (IE PlugIn) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:\WINDOWS\system32\dddesot.dll => Registry Key removed successfully
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin9.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab => Registry Key removed successfully
[HKLM\SOFTWARE\Classes\CLSID\{D8089245-3211-40F6-819B-9E5E92CD61A2}] => Registry Key removed successfully
[HKCR\CLSID\{D8089245-3211-40F6-819B-9E5E92CD61A2}] => Registry Key removed successfully
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://bellerock.microgaming.com/freeplay/FlashAX2.cab => Registry Key removed successfully
[HKLM\SOFTWARE\Classes\CLSID\{F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65}] => Registry Key removed successfully
[HKCR\CLSID\{F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65}] => Registry Key removed successfully
O20 - Winlogon Notify: c00E3CFA - C:\WINDOWS\System32\c00E3CFA.mat => Registry Key removed successfully
O23 - Service: 1154972173 (.1154972173) - C:\Documents and Settings\All Users\Application Data\k1154972173.exe => Registry Key removed successfully
O23 - Service: AntipyProex (AntipPro2009_100) - C:\WINDOWS\svchasts.exe => Registry Key removed successfully

Valeur du Registre :
O47 - AAKE:Key Export DP - "%windir%\system32\drivers\svchost.exe"="%windir%\system32\drivers\svchost.exe:*:Enabled:svchost" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\Program Files\Raptr\Raptr.exe"="C:\Program Files\Raptr\Raptr.exe:*:Enabled:Raptr Client" => Registry key value removed successfully

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
C:\WINDOWS\system32\dddesot.dll => Quarantined and Deleted successfully
C:\WINDOWS\System32\c00E3CFA.mat => File not found
C:\Documents and Settings\All Users\Application Data\k1154972173.exe => File not found
C:\WINDOWS\svchasts.exe => File not found
C:\WINDOWS\System32\wispex.html => Quarantined and Deleted successfully
C:\WINDOWS\System32\sonhelp.htm => Quarantined and Deleted successfully
C:\WINDOWS\System32\sysnet.dat => Quarantined and Deleted successfully
C:\WINDOWS\System32\bennuar.old => Quarantined and Deleted successfully
C:\WINDOWS\System32\bincd32.dat => Quarantined and Deleted successfully
C:\WINDOWS\System32\dddesot.dll => File not found
C:\WINDOWS\System32\onhelp.htm => Quarantined and Deleted successfully
C:\WINDOWS\ppp3.dat => Quarantined and Deleted successfully
C:\WINDOWS\ppp4.dat => Quarantined and Deleted successfully
C:\WINDOWS\System32\desote.exe => Quarantined and Deleted successfully

Logiciel :
O42 - Logiciel: SpyHunter => Software removed successfully

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 2
Module mémoire : 0
Clé du Registre : 10
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 0
Fichier : 14
Logiciel : 1
Autre : 0



End of the scan



2- Pour Malware byte il y avait un erreur qui me laissait pas le mettre à jour, alors j'ai fait un scan sans le mettre à jour , j'ai redémarré, j'ai réussi à le mettre à jour, j'ai fait un autre scan et redémarré.
Voici les 2 rapports:

Premier scan
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2551
Windows 5.1.2600 Service Pack 3

2009-08-30 18:15:32
mbam-log-2009-08-30 (18-15-32).txt

Type de recherche: Examen rapide
Eléments examinés: 104982
Temps écoulé: 3 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux (Trojan.JSRedir.H) -> Bad: (C:\WINDOWS\system32\..\qsxd.hxi) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (C:\WINDOWS\system32\desote.exe "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\MSINET.oca (Rogue.Trace) -> Quarantined and deleted successfully.


Deuxième scan
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2719
Windows 5.1.2600 Service Pack 3

2009-08-30 18:24:50
mbam-log-2009-08-30 (18-24-50).txt

Type de recherche: Examen rapide
Eléments examinés: 108372
Temps écoulé: 4 minute(s), 8 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{76dc0b63-1533-4ba9-8be8-d59eb676fa02} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{76dc0b63-1533-4ba9-8be8-d59eb676fa02} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_ANTIPPRO2009_100 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\kbiwkmcpidmyqo.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\kbiwkmqmlajkfr.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\kbiwkmlqbwqlti.sys (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\UACkoknyfulkl.db (Trojan.TDSS) -> Quarantined and deleted successfully.



3-http://www.cijoint.fr/cjlink.php?file=cj200908/cij0TlahH4.txt
0
Réponse 16 / 53
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
31 août 2009 à 00:53
Teint donc ...

une belle infection Tibs vient de se montrer ... ^^



on continue .... dans l'ordre :



1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes .


======================

2-- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


========================


3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape ske et valide .

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "ske.exe" ( = Combofix ) pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici: C:\Combofix.txt

Réactive bien tes défenses


Poste le rapport Combofix pour analyse et attends la suite ...


0
Réponse 17 / 53
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009
31 août 2009 à 01:54
Petit problème ça ne m'a pa demander de console de récupération!!

Voici le rapport:

ComboFix 09-08-30.01 - Admin 2009-08-30 19:20.1.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.959.418 [GMT -4:00]
Running from: c:\documents and settings\Admin\Bureau\ske.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
[i] ADS - WINDOWS: deleted 24 bytes in 1 streams. /i

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Admin\Application Data\Google\T-Scan
c:\documents and settings\Admin\Application Data\Google\T-Scan\n.gif
c:\documents and settings\Admin\Application Data\Google\T-Scan\t.gif
c:\documents and settings\Admin\Application Data\Google\T-Scan\y.gif
c:\documents and settings\Admin\Application Data\inst.exe
c:\program files\Mozilla Firefox\extensions\{FF6526A9-3E87-4C80-A813-6D4D3BDB8618}
c:\program files\Mozilla Firefox\extensions\{FF6526A9-3E87-4C80-A813-6D4D3BDB8618}\chrome.manifest
c:\program files\Mozilla Firefox\extensions\{FF6526A9-3E87-4C80-A813-6D4D3BDB8618}\chrome\content\_cfg.js
c:\program files\Mozilla Firefox\extensions\{FF6526A9-3E87-4C80-A813-6D4D3BDB8618}\chrome\content\c.js
c:\program files\Mozilla Firefox\extensions\{FF6526A9-3E87-4C80-A813-6D4D3BDB8618}\chrome\content\overlay.xul
c:\program files\Mozilla Firefox\extensions\{FF6526A9-3E87-4C80-A813-6D4D3BDB8618}\install.rdf
c:\temp\PRE45
c:\windows\Fonts\img hearts.ttf
c:\windows\Fonts\img travel.ttf
c:\windows\Installer\111cd.msp
c:\windows\Installer\1427b6b.msp
c:\windows\Installer\1427ba9.msp
c:\windows\Installer\14d30.msp
c:\windows\Installer\156153.msp
c:\windows\Installer\1a00901.msp
c:\windows\Installer\1b295e.msp
c:\windows\Installer\28d37be.msi
c:\windows\Installer\3ba2f96.msp
c:\windows\Installer\627d49.msi
c:\windows\Installer\6893aa.msi
c:\windows\system32\drivers\Sonyhcp.dll
c:\windows\system32\images
c:\windows\system32\images\i1.gif
c:\windows\system32\images\i2.gif
c:\windows\system32\images\i3.gif
c:\windows\system32\images\j1.gif
c:\windows\system32\images\j2.gif
c:\windows\system32\images\j3.gif
c:\windows\system32\images\jj1.gif
c:\windows\system32\images\jj2.gif
c:\windows\system32\images\jj3.gif
c:\windows\system32\images\l1.gif
c:\windows\system32\images\l2.gif
c:\windows\system32\images\l3.gif
c:\windows\system32\images\pix.gif
c:\windows\system32\images\t1.gif
c:\windows\system32\images\t2.gif
c:\windows\system32\images\up1.gif
c:\windows\system32\images\up2.gif
c:\windows\system32\images\w1.gif
c:\windows\system32\images\w11.gif
c:\windows\system32\images\w2.gif
c:\windows\system32\images\w3.gif
c:\windows\system32\images\w3.jpg
c:\windows\system32\images\wt1.gif
c:\windows\system32\images\wt2.gif
c:\windows\system32\images\wt3.gif
c:\windows\system32\kbiwkmlwduyffo.dat
c:\windows\system32\kbiwkmvsrqxody.dat
c:\windows\system32\private.inf
c:\windows\system32\sX3i19
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_kbiwkmirwxympu
-------\Legacy_OREANS32
-------\Service_kbiwkmirwxympu
-------\Service_oreans32


((((((((((((((((((((((((( Files Created from 2009-07-28 to 2009-08-30 )))))))))))))))))))))))))))))))
.

2009-08-30 23:31 . 2009-08-21 21:13 165240 ----a-r- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\IPSFFPlgn\components\IPSFFPl.dll
2009-08-30 19:16 . 2009-08-30 21:58 -------- d-----w- c:\program files\ZHPDiag
2009-08-30 17:35 . 2009-08-26 08:00 371248 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090830.005\EECTRL.SYS
2009-08-30 17:35 . 2009-08-26 08:00 2747440 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090830.005\CCERASER.DLL
2009-08-30 17:35 . 2009-08-26 08:00 102448 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090830.005\ERASER.SYS
2009-08-30 17:35 . 2009-08-25 08:00 84912 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090830.005\NAVENG.SYS
2009-08-30 17:35 . 2009-08-25 08:00 259440 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090830.005\ECMSVR32.DLL
2009-08-30 17:35 . 2009-08-25 08:00 177520 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090830.005\NAVENG32.DLL
2009-08-30 17:35 . 2009-08-25 08:00 1647984 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090830.005\NAVEX32A.DLL
2009-08-30 17:35 . 2009-08-25 08:00 1323568 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090830.005\NAVEX15.SYS
2009-08-30 04:25 . 2008-12-11 12:38 159600 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-08-30 04:24 . 2009-02-23 14:11 130424 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-08-30 04:24 . 2008-12-18 16:16 73840 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2009-08-30 04:24 . 2009-08-30 04:25 -------- dc----w- c:\program files\Fichiers communs\PC Tools
2009-08-30 04:24 . 2008-12-10 16:36 64392 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2009-08-30 04:24 . 2009-08-30 04:24 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2009-08-30 04:24 . 2009-08-30 04:24 -------- d-----w- c:\documents and settings\Admin\Application Data\PC Tools
2009-08-30 02:49 . 2009-08-30 02:49 -------- d-----r- c:\documents and settings\LocalService\Favoris
2009-08-24 15:24 . 2009-08-24 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\NFS Underground
2009-08-24 04:23 . 2009-08-24 04:23 -------- dc----w- c:\program files\Fichiers communs\DirectX
2009-08-23 15:36 . 2000-02-17 19:27 308224 ----a-w- c:\windows\IsUn040a.exe
2009-08-22 15:11 . 2009-08-22 15:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Age of Empires 3
2009-08-21 21:35 . 2009-07-11 19:34 276344 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSXpx86.sys
2009-08-21 21:35 . 2009-07-11 19:34 293424 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSvix86.sys
2009-08-21 21:35 . 2009-07-11 19:34 533880 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\Scxpx86.dll
2009-08-21 21:35 . 2009-07-11 19:34 451960 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSxpx86.dll
2009-08-21 21:35 . 2009-07-11 19:34 397360 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSviA64.sys
2009-08-21 21:32 . 2009-08-21 21:32 -------- d-----r- c:\program files\Norton Support
2009-08-21 21:13 . 2009-08-21 21:13 554352 ----a-r- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn\components\coFFPlgn.dll
2009-08-21 21:13 . 2009-08-21 21:13 -------- d-----w- c:\documents and settings\All Users\Application Data\{7B6BA59A-FB0E-4499-8536-A7420338BF3B}
2009-08-21 21:13 . 2009-08-21 21:13 36400 ----a-r- c:\windows\system32\drivers\SymIM.sys
2009-08-21 21:13 . 2009-08-21 21:13 -------- d-----w- c:\program files\Symantec
2009-08-21 21:13 . 2009-08-21 21:13 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL
2009-08-21 21:13 . 2009-08-21 21:13 124464 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2009-08-21 21:13 . 2009-08-21 21:13 1290592 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\SyKnAppS\SyKnAppS.dll
2009-08-21 21:13 . 2009-08-21 21:13 136840 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\SyKnAppS\patch25.dll
2009-08-21 21:13 . 2009-08-21 21:13 796016 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\CLT\cltLMSx.dll
2009-08-21 21:12 . 2009-08-21 21:12 -------- d-----w- c:\windows\system32\drivers\N360
2009-08-21 21:12 . 2009-08-21 21:12 -------- d-----w- c:\program files\Norton 360 Premier Edition
2009-08-21 21:12 . 2009-08-21 21:12 -------- d-----w- c:\program files\Windows Sidebar
2009-08-21 21:12 . 2009-08-21 21:12 -------- d-----w- c:\program files\NortonInstaller
2009-08-21 21:07 . 2009-08-21 21:07 -------- d-----w- C:\00000082
2009-08-21 07:49 . 2009-08-21 08:12 -------- d-----w- c:\program files\EA GAMES
2009-08-21 07:36 . 2009-03-09 19:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll
2009-08-21 07:36 . 2009-03-09 19:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dll
2009-08-21 07:36 . 2009-03-09 19:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
2009-08-21 07:36 . 2009-03-16 18:18 69448 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2009-08-21 07:36 . 2009-03-16 18:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll
2009-08-21 07:36 . 2009-03-16 18:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll
2009-08-21 07:36 . 2009-03-16 18:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll
2009-08-21 07:36 . 2008-10-10 08:52 452440 ----a-w- c:\windows\system32\d3dx10_40.dll
2009-08-21 07:36 . 2008-10-10 08:52 2036576 ----a-w- c:\windows\system32\D3DCompiler_40.dll
2009-08-21 07:36 . 2008-10-10 08:52 4379984 ----a-w- c:\windows\system32\D3DX9_40.dll
2009-08-21 07:36 . 2008-10-27 14:04 514384 ----a-w- c:\windows\system32\XAudio2_3.dll
2009-08-21 07:36 . 2008-10-27 14:04 70992 ----a-w- c:\windows\system32\XAPOFX1_2.dll
2009-08-21 07:35 . 2008-10-27 14:04 235856 ----a-w- c:\windows\system32\xactengine3_3.dll
2009-08-21 07:35 . 2008-10-27 14:04 23376 ----a-w- c:\windows\system32\X3DAudio1_5.dll
2009-08-21 00:26 . 2009-08-21 00:26 280344 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-08-20 21:13 . 2009-08-20 21:13 -------- d-----w- c:\documents and settings\Admin\Application Data\VitySoft
2009-08-20 19:10 . 2009-08-20 19:36 -------- d-----w- c:\documents and settings\Admin\Local Settings\Application Data\Rockstar Games
2009-08-20 18:56 . 2009-08-20 18:56 -------- d-----w- c:\windows\system32\xlive
2009-08-20 18:56 . 2009-08-20 19:30 -------- d-----w- c:\program files\Microsoft Games for Windows - LIVE
2009-08-20 17:14 . 2009-08-20 17:14 -------- d-----w- c:\program files\PowerISO
2009-08-12 21:33 . 2009-08-12 21:34 -------- d-----w- c:\documents and settings\Admin\Application Data\DeepBurner
2009-08-12 21:32 . 2009-08-12 21:35 -------- d-----w- c:\program files\Astonsoft
2009-08-10 05:39 . 2009-08-10 06:21 -------- dc----w- c:\program files\Nero
2009-08-07 23:51 . 2009-08-07 23:51 15308424 ----a-w- c:\windows\system32\xlive.dll
2009-08-07 23:51 . 2009-08-07 23:51 13642888 ----a-w- c:\windows\system32\xlivefnt.dll
2009-08-07 07:03 . 2009-08-07 07:03 502 ----a-w- c:\windows\eReg.dat
2009-08-05 09:00 . 2009-08-05 09:00 205312 ------w- c:\windows\system32\dllcache\mswebdvd.dll
2009-08-04 06:05 . 2009-08-04 06:05 -------- d-----w- c:\program files\PC Inspector File Recovery
2009-08-01 07:56 . 2009-08-01 08:03 -------- d-----w- c:\documents and settings\Admin\Local Settings\Application Data\Pinnacle
2009-08-01 07:13 . 2009-08-01 07:13 -------- d-----w- c:\documents and settings\Admin\Application Data\proDAD
2009-08-01 07:13 . 2009-08-01 07:13 -------- d-----w- c:\program files\proDAD
2009-08-01 07:12 . 2003-07-01 20:49 69632 ----a-w- c:\windows\system32\MtxPreview.dll
2009-08-01 07:12 . 2003-07-01 20:49 49152 ----a-w- c:\windows\system32\MtxParhBFXPreview.dll
2009-08-01 07:12 . 2003-06-26 14:04 237568 ----a-r- c:\windows\system32\qtmlClient.dll
2009-08-01 07:12 . 2003-01-20 13:08 49152 ----a-w- c:\windows\system32\CvoAPI.dll
2009-08-01 07:11 . 2009-08-01 07:12 -------- d-----w- c:\program files\Boris FX, Inc
2009-08-01 06:54 . 2009-08-01 06:54 29926 ----a-r- c:\documents and settings\Admin\Application Data\Microsoft\Installer\{5EB90C06-964F-4195-B83E-BD7E55C88415}\ARPPRODUCTICON.exe
2009-08-01 06:54 . 2005-09-24 03:18 171520 ----a-w- c:\windows\system32\drivers\MarvinBus.sys
2009-08-01 06:54 . 2009-08-01 06:54 -------- dc----w- c:\program files\Fichiers communs\Pinnacle
2009-08-01 06:52 . 2009-08-01 06:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Ultimate
2009-08-01 06:38 . 2009-08-01 06:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Studio 12
2009-08-01 06:38 . 2009-08-01 06:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Plus

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-30 23:31 . 2008-11-09 04:36 -------- d-----w- c:\documents and settings\All Users\Application Data\eboostr
2009-08-30 23:04 . 2008-06-10 01:48 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-30 22:59 . 2008-10-03 00:22 -------- dc----w- c:\program files\CCleaner
2009-08-30 22:09 . 2008-08-29 02:53 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-30 21:58 . 2009-05-07 16:38 -------- dc----w- c:\program files\Enigma Software Group
2009-08-25 15:43 . 2009-06-24 23:10 -------- d-----w- c:\documents and settings\Admin\Application Data\Vso
2009-08-22 14:53 . 2006-01-19 20:07 -------- dc-h--w- c:\program files\InstallShield Installation Information
2009-08-22 14:40 . 2008-01-04 20:16 -------- dc----w- c:\program files\Fichiers communs\Symantec Shared
2009-08-21 21:17 . 2009-07-23 01:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2009-08-21 21:13 . 2009-08-21 21:13 805 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF
2009-08-21 21:13 . 2009-08-21 21:13 7386 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT
2009-08-21 21:12 . 2009-07-23 01:41 -------- d-----w- c:\documents and settings\All Users\Application Data\NortonInstaller
2009-08-20 19:02 . 2007-12-18 04:58 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-08-20 15:13 . 2006-01-19 19:59 86826 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-20 15:13 . 2006-01-19 19:59 515292 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-13 21:38 . 2008-07-12 23:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero
2009-08-13 07:09 . 2008-05-16 02:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-08-12 23:53 . 2009-06-14 16:25 -------- d-----w- c:\documents and settings\All Users\Application Data\LxThumbs
2009-08-12 23:51 . 2009-01-29 04:30 -------- d-----w- c:\documents and settings\Admin\Application Data\Nero
2009-08-10 06:47 . 2008-07-12 23:15 -------- dc----w- c:\program files\Fichiers communs\Nero
2009-08-10 06:08 . 2009-07-09 21:26 -------- dc----w- c:\program files\Videos To DVD
2009-08-10 06:03 . 2009-05-28 20:39 -------- dc----w- c:\program files\IRConquerors
2009-08-05 09:00 . 2004-08-05 05:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-03 17:36 . 2008-08-29 02:53 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-03 17:36 . 2008-08-29 02:53 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-01 10:50 . 2009-05-28 21:01 106968 ---ha-w- c:\windows\system32\mlfcache.dat
2009-08-01 07:34 . 2008-05-08 01:41 156952 ----a-w- c:\documents and settings\Admin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-01 07:08 . 2009-07-14 14:45 -------- dc----w- c:\program files\Pinnacle
2009-08-01 06:57 . 2009-07-14 14:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle
2009-07-31 10:43 . 2008-05-16 00:34 -------- dc----w- c:\program files\Messenger Plus! Live
2009-07-31 10:35 . 2009-05-21 03:06 -------- dc----w- c:\program files\Microsoft Silverlight
2009-07-31 06:41 . 2008-07-17 00:48 -------- d-----w- c:\documents and settings\Admin\Application Data\uTorrent
2009-07-30 06:03 . 2008-05-10 14:19 -------- d-----w- c:\documents and settings\Admin\Application Data\LimeWire
2009-07-30 05:48 . 2009-07-30 05:48 -------- d-----w- c:\program files\Incomplete
2009-07-30 05:48 . 2008-05-10 14:19 -------- dc----w- c:\program files\LimeWire
2009-07-30 05:24 . 2009-07-30 05:24 -------- d-----w- c:\documents and settings\Admin\Application Data\Xilisoft Corporation
2009-07-30 04:33 . 2009-07-30 04:33 -------- d-----w- c:\program files\WinAVI Video Converter 9.0
2009-07-29 05:03 . 2006-01-19 19:51 -------- dc----w- c:\program files\sisagp
2009-07-29 04:57 . 2008-07-24 23:18 -------- dc----w- c:\program files\ma-config.com
2009-07-29 04:57 . 2008-07-24 23:18 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
2009-07-27 02:43 . 2009-07-27 02:43 58908 ----a-w- c:\windows\system32\drivers\scdemu.sys
2009-07-26 22:41 . 2009-07-26 22:40 -------- dc----w- c:\program files\TVAnts
2009-07-25 04:50 . 2009-07-20 15:17 -------- dc----w- c:\program files\Pegasys Inc
2009-07-24 05:46 . 2008-11-24 18:24 3775175 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-07-23 05:18 . 2008-06-10 01:48 -------- dc----w- c:\program files\Spybot - Search & Destroy
2009-07-22 22:30 . 2009-07-22 22:14 81984 ----a-w- c:\windows\system32\bdod.bin
2009-07-20 18:22 . 2009-07-20 18:22 -------- d-----w- c:\documents and settings\Admin\Application Data\Leadertech
2009-07-20 18:22 . 2009-07-20 18:22 -------- d-----w- c:\documents and settings\Admin\Application Data\Sonic
2009-07-20 18:20 . 2009-07-20 18:20 -------- dc----w- c:\program files\Fichiers communs\SureThing Shared
2009-07-20 18:20 . 2009-07-09 07:13 -------- dc----w- c:\program files\Sonic
2009-07-20 18:20 . 2009-07-20 18:20 -------- dc----w- c:\program files\Fichiers communs\Sonic Shared
2009-07-20 15:53 . 2009-07-20 15:53 -------- d-----w- c:\documents and settings\Admin\Application Data\LEAPS
2009-07-20 15:21 . 2009-07-20 15:21 -------- d-----w- c:\documents and settings\Admin\Application Data\Pegasys Inc
2009-07-20 15:17 . 2009-07-20 15:18 59488 ----a-w- c:\windows\system32\GenSvcInst.exe
2009-07-20 15:17 . 2009-07-20 15:18 33408 ----a-w- c:\windows\system32\drivers\CDRBSDRV.SYS
2009-07-20 15:17 . 2009-07-20 15:18 145504 ----a-w- c:\windows\system32\bgsvcgen.exe
2009-07-19 06:08 . 2008-10-15 20:24 -------- d--h--w- c:\documents and settings\All Users\Application Data\{90F3B5EB-A471-42F9-A905-991C2DB2312C}
2009-07-19 06:08 . 2008-07-17 00:48 -------- dc----w- c:\program files\uTorrent
2009-07-19 06:08 . 2008-07-12 20:34 -------- d-----w- c:\documents and settings\All Users\Application Data\NtiDvdCopy
2009-07-19 06:08 . 2009-07-19 04:41 -------- d-----w- c:\documents and settings\Admin\Application Data\GlarySoft
2009-07-19 05:45 . 2008-05-12 00:41 -------- dc----w- c:\program files\Samsung
2009-07-18 23:32 . 2009-07-18 23:32 -------- dc----w- c:\program files\Glary Utilities
2009-07-17 19:03 . 2004-08-05 05:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 01:16 . 2009-07-17 01:16 -------- dc----w- c:\program files\Defraggler
2009-07-14 15:04 . 2009-07-14 14:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle VideoSpin
2009-07-14 14:45 . 2009-07-14 14:45 -------- dc----w- c:\program files\Fichiers communs\Yahoo!
2009-07-14 03:43 . 2004-08-05 05:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-11 19:34 . 2009-07-11 19:34 276344 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSXpx86.sys
2009-07-11 19:34 . 2009-07-11 19:34 293424 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSvix86.sys
2009-07-11 19:34 . 2009-07-11 19:34 533880 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\Scxpx86.dll
2009-07-11 19:34 . 2009-07-11 19:34 451960 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSxpx86.dll
2009-07-11 19:34 . 2009-07-11 19:34 397360 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSviA64.sys
2009-07-09 18:56 . 2009-07-09 18:56 -------- dc----w- c:\program files\SiS VGA Utilities V3.68
2009-07-09 06:49 . 2009-07-09 06:49 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2009-07-09 05:45 . 2009-06-15 16:37 -------- dc----w- c:\program files\Safari
2009-07-08 15:17 . 2006-10-06 03:43 -------- dc----w- c:\program files\DivX
2009-07-08 15:16 . 2009-07-08 15:16 -------- dc----w- c:\program files\Fichiers communs\DivX Shared
2009-07-03 16:57 . 2005-07-03 02:16 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-02 13:48 . 2009-07-02 13:48 -------- d-----w- c:\documents and settings\All Users\Application Data\vsosdk
2009-07-02 00:17 . 2009-07-02 00:17 69632 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\Safari 4.30.19.1\SetupAdmin.exe
2009-06-25 08:26 . 2004-10-28 01:24 736768 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:26 . 2004-08-05 05:00 56832 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:26 . 2004-08-05 05:00 54272 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:26 . 2004-08-05 05:00 147456 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:26 . 2004-08-05 05:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-25 08:26 . 2005-06-15 17:50 301568 ----a-w- c:\windows\system32\kerberos.dll
2009-06-24 23:50 . 2009-06-21 02:15 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2009-06-24 23:10 . 2009-06-24 23:10 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2009-06-24 23:10 . 2009-06-24 23:10 47360 ----a-w- c:\documents and settings\Admin\Application Data\pcouffin.sys
2009-06-24 23:10 . 2009-06-24 23:10 47360 ----a-w- c:\documents and settings\Admin\Application Data\pcouffin.sys
2009-06-24 11:18 . 2004-08-05 05:00 92928 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-06-23 17:05 . 2009-06-23 17:05 8704 ----a-w- c:\documents and settings\Admin\Application Data\Thinstall\Total Video Converter 3.11 070908\300000003400002h\dwwin.exe
2009-06-22 19:02 . 2009-06-22 19:02 8704 ----a-w- c:\documents and settings\Admin\Application Data\Thinstall\Total Video Converter 3.11 070908\4000001100002h\RealOneMessageCenter.exe
2009-06-22 19:02 . 2009-06-22 19:02 8704 ----a-w- c:\documents and settings\Admin\Application Data\Thinstall\Total Video Converter 3.11 070908\400000600002h\rphelperapp.exe
2009-06-22 19:01 . 2009-06-22 19:01 8704 ----a-w- c:\documents and settings\Admin\Application Data\Thinstall\Total Video Converter 3.11 070908\4000008100002h\RealPlay.exe
2009-06-17 15:32 . 2009-06-17 15:32 1084 ----a-w- c:\windows\system32\unins000.dat
2009-06-17 15:32 . 2009-06-17 15:32 695578 ----a-w- c:\windows\system32\unins000.exe
2009-06-16 14:40 . 2004-08-05 05:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:40 . 2004-08-05 05:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 19:10 . 2009-06-15 19:10 8704 ----a-w- c:\documents and settings\Admin\Application Data\Thinstall\Total Video Converter 3.11 070908\100000029a00002h\explorer.exe
2008-08-21 06:16 . 2008-08-21 06:16 27976 -c--a-w- c:\program files\mozilla firefox\plugins\atgpcdec.dll
2008-08-21 06:16 . 2008-08-21 06:16 125840 -c--a-w- c:\program files\mozilla firefox\plugins\atgpcext.dll
2008-08-21 06:16 . 2008-08-21 06:16 98704 -c--a-w- c:\program files\mozilla firefox\plugins\ieatgpc.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 -c--a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2008-08-21 06:16 . 2008-08-21 06:16 107848 -c--a-w- c:\program files\mozilla firefox\plugins\mwmcli.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 -c--a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2007-02-02 04:52 . 2007-02-02 04:52 80 --sh--r- c:\windows\system32\870D8849F9.dll
2007-10-28 22:36 . 2007-02-06 23:40 168 --sh--r- c:\windows\system32\F949880D87.sys
2008-04-12 19:18 . 2006-10-13 18:26 4184 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

[-] 2008-04-14 02:34 2716672 4319D8CE7799233EC864B74F80840BBF c:\windows\explorer.exe
[-] 2007-06-13 13:10 1037312 B795475444D6D57A572C14B9E1A29839 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[-] 2007-06-13 13:22 2716160 6F341B3CA16AF1E82D1FD2A54177E997 c:\windows\$NtServicePackUninstall$\explorer.exe
[7] 2004-08-05 05:00 1036288 4C33E5B9A6197B6ED215F6CFBA0A2DAA c:\windows\$NtUninstallKB938828$\explorer.exe
[-] 2008-04-14 02:34 2716672 4319D8CE7799233EC864B74F80840BBF c:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 868352]
"SoftAuto.exe"="c:\program files\Creative\Software Update 3\SoftAuto.exe" [2008-05-28 401408]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-05-22 198160]
"lxdfmon.exe"="c:\program files\Lexmark 6500 Series\lxdfmon.exe" [2007-06-11 455600]
"lxdfamon"="c:\program files\Lexmark 6500 Series\lxdfamon.exe" [2007-06-01 20480]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2009-07-27 180224]
"SMSERIAL"="sm56hlpr.exe" - c:\windows\sm56hlpr.exe [2005-06-06 544768]
"SiSPower"="SiSPower.dll" - c:\windows\system32\SiSPower.dll [2005-07-13 49152]

c:\documents and settings\Admin\Menu D‚marrer\Programmes\D‚marrage\
Recorte de pantalla e Inicio r pido de OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\documents and settings\Admin\Menu D‚marrer\Programmes\D‚marrage\
Recorte de pantalla e Inicio r pido de OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\documents and settings\Admin\Menu D‚marrer\Programmes\D‚marrage\
Recorte de pantalla e Inicio r pido de OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Utility Tray.lnk - c:\windows\system32\sistray.exe [2006-8-7 262144]

c:\documents and settings\Admin\Menu D‚marrer\Programmes\D‚marrage\
Recorte de pantalla e Inicio r pido de OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]
@="FSFilter Activity Monitor"

[HKLM\~\startupfolder\C:^Documents and Settings^Admin^Menu Démarrer^Programmes^Démarrage^Y'z Toolbar.lnk]
backup=c:\windows\pss\Y'z Toolbar.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^eBoostr Control Panel.lnk]
backup=c:\windows\pss\eBoostr Control Panel.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"NeroFilterCheck"=c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe"
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
"BDAgent"="c:\program files\Softwin\BitDefender10\bdagent.exe"
"BDMCon"="c:\program files\Softwin\BitDefender10\bdmcon.exe" /reg
"WinampAgent"="c:\program files\Winamp\winampa.exe"
"ISTray"="c:\program files\Spyware Doctor\pctsTray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\ijji\\ENGLISH\\u_gunz.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\KeyHoleTV\\KeyHoleTV.exe"=
"c:\\ijji\\ENGLISH\\u_gbound.exe"=
"c:\\ijji\\ENGLISH\\u_skid.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"%windir%\\system32\\drivers\\svchost.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\lxdfcoms.exe"=
"c:\\Program Files\\Lexmark 6500 Series\\lxdfmon.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdfpswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdftime.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdfjswx.exe"=
"c:\\Program Files\\Lexmark 6500 Series\\frun.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdfwbgw.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
"c:\\Program Files\\Java\\jre1.6.0_07\\launch4j-tmp\\frd.exe"=

R0 eBoost;eBoostr caching filter driver;c:\windows\system32\drivers\EBoost.sys [2007-12-18 72840]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-08-27 28544]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\N360\0300000.086\SymEFA.sys [2009-08-21 310320]
R0 VOBID;VOBID;c:\windows\system32\drivers\vobid.sys [2003-08-01 29239]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\N360\0300000.086\cchpx86.sys [2009-08-21 482352]
R1 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSXpx86.sys [2009-08-21 276344]
R1 vobiw;vobiw;c:\windows\system32\drivers\vobIW.sys [2004-07-06 188416]
R2 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\N360\0300000.086\BHDrvx86.sys [2009-08-21 258608]
R2 EBOOSTRSVC;eBoostr Service;c:\program files\eBoostr\EBstrSvc.exe [2007-12-18 327168]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2009-05-20 55152]
R2 lxdf_device;lxdf_device;c:\windows\system32\lxdfcoms.exe -service --> c:\windows\system32\lxdfcoms.exe -service [?]
R2 lxdfCATSCustConnectService;lxdfCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdfserv.exe [2009-06-04 99248]
R2 N360;Norton 360;c:\program files\Norton 360 Premier Edition\Engine\3.0.0.134\ccSvcHst.exe [2009-08-21 115560]
R3 cdrdrv;Cdrdrv;c:\windows\system32\drivers\Cdrdrv.sys [2004-06-01 64000]
S3 CTUPnPSv;Creative Centrale Media Server;c:\program files\Creative\Creative Centrale\CTUPnPSv.exe [2008-05-21 64000]
S3 fsssvc;Windows Live Protección Infantil;c:\program files\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-05-29 234864]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 PortlUSB;PortlUSB;c:\windows\system32\drivers\YH-925.sys [2008-05-11 7552]
S3 WPRO_40_1340;WinPcap Packet Driver (WPRO_40_1340);c:\windows\system32\drivers\WPRO_40_1340.sys --> c:\windows\system32\drivers\WPRO_40_1340.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder

2009-08-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 16:34]

2009-08-30 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-07-18 20:55]

2009-08-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2913472555-2612530562-1379725605-1009Core.job
- c:\documents and settings\Admin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-15 14:47]

2009-08-30 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2913472555-2612530562-1379725605-1009UA.job
- c:\documents and settings\Admin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-15 14:47]

2009-08-30 c:\windows\Tasks\User_Feed_Synchronization-{4E30322B-F709-43A0-9587-596D13591BCF}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 08:31]
.
.
------- Supplementary Scan -------
.
uStart Page = www.msn.com
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: clubbox.co.kr
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {D71F9A27-723E-4B8B-B428-B725E47CBA3E} - hxxp://imikimi.com/download/imikimi_plugin_0.5.1.cab
FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\yxuyft0p.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - plugin: c:\documents and settings\Admin\Local Settings\Application Data\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npatgpc.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npijjiCHPlugin.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npijjiFFPlugin1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npkimi.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npunagi2.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-30 19:32
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\N360]
"ImagePath"="\"c:\program files\Norton 360 Premier Edition\Engine\3.0.0.134\ccSvcHst.exe\" /s \"N360\" /m \"c:\program files\Norton 360 Premier Edition\Engine\3.0.0.134\diMaster.dll\" /prefetch:1"

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,34,f9,bf,08,ce,
73,ce,03,c8,28,51,af,b0,29,a3,98,ab,35,a5,84,81,0a,ee,65,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,e3,0b,84,d7,9d,
4e,b6,f3,71,3b,04,66,8b,46,0d,96,0f,24,53,5a,1d,2e,c5,34,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,9c,95,f7,e9,70,
96,95,97,25,da,ec,7e,55,20,c9,26,16,06,0e,c8,11,74,55,7b,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,01,93,fe,08,5c,
a3,cb,0e,3e,1e,9e,e0,57,5a,93,61,6c,a2,ec,5f,24,09,cb,c5,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,8c,e3,91,c4,f0,
05,c4,9f,cd,44,cd,b9,a6,33,6c,cd,f1,80,a7,92,8d,b5,a8,23,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,e0,60,11,0d,55,
aa,e0,5e,b0,18,ed,a7,3f,8d,37,a4,43,43,68,9a,28,19,cb,1f,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,e5,6d,78,bf,10,
b8,53,82,31,77,e1,ba,b1,f8,68,02,56,f5,2c,8a,53,19,1c,b5,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,27,e6,af,37,0b,
05,33,d1,83,6c,56,8b,a0,85,96,ab,81,21,b9,98,69,fd,99,14,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,a4,67,34,b9,dc,
52,51,25,51,fa,6e,91,28,9e,14,cc,1f,8a,7c,5f,f3,87,d8,b7,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,6d,15,ba,24,29,
a4,d2,32,b1,cd,45,5a,a8,c4,f8,b9,b9,ed,12,28,6b,0e,8c,25,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,6e,df,76,ed,d5,
ff,82,de,e3,0e,66,d5,eb,bc,2f,6b,b9,b0,73,dd,0c,a1,b0,1d,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,91,bf,d5,c4,fe,
d8,88,f8,fa,ea,66,7f,d4,3b,6b,70,3a,4d,e5,35,62,d8,67,51,6c,43,2d,1e,aa,22,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\MSSYCLM]
@Denied: (B C D 1 2 3 4 5 6) (LocalSystem)

[HKEY_LOCAL_MACHINE\software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NUM]
@Denied: (A C D 2 5) (LocalSystem)
"LastCompletedRun"=hex(b):00,00,00,00,00,00,00,00
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(3132)
c:\windows\system32\SHDOCVW.dll
c:\progra~1\WINDOW~1\wmpband.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\msls31.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\stobject.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Acer\Acer eConsole\MediaServerService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\CTSVCCDA.EXE
c:\program files\Creative\Shared Files\CTDevSrv.exe
c:\windows\system32\lxdfcoms.exe
c:\program files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
.
**************************************************************************
.
Completion time: 2009-08-30 19:38 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-30 23:38
ComboFix2.txt 2008-08-29 02:35
ComboFix3.txt 2008-06-11 20:56

Pre-Run: 17,050,198,016 octets libres
Post-Run: 16,961,257,472 octets libres

585 --- E O F --- 2009-08-27 07:03
0
Réponse 18 / 53
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
31 août 2009 à 08:41
Salut,


analyse moi les fichiers suivant sur VirusTotal stp :


c:\windows\IsUn040a.exe

c:\documents and settings\Admin\Application Data\Thinstall\Total Video Converter 3.11 070908\100000029a00002h\explorer.exe

c:\windows\system32\870D8849F9.dll

c:\windows\system32\F949880D87.sys



Poste moi les 4 rapports obtenu stp et attends la suite ....



0
Réponse 19 / 53
Anthonyz Messages postés 64 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 7 septembre 2009
31 août 2009 à 20:03
Salut,

voici les 4 rapports:

c:\windows\IsUn040a.exe

Fichier IsUn040a.exe reçu le 2009.08.31 17:44:50 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.31 -
AhnLab-V3 5.0.0.2 2009.08.31 -
AntiVir 7.9.1.7 2009.08.31 -
Antiy-AVL 2.0.3.7 2009.08.31 -
Authentium 5.1.2.4 2009.08.31 -
Avast 4.8.1335.0 2009.08.31 -
AVG 8.5.0.406 2009.08.31 -
BitDefender 7.2 2009.08.31 -
CAT-QuickHeal 10.00 2009.08.31 -
ClamAV 0.94.1 2009.08.31 -
Comodo 2125 2009.08.31 -
DrWeb 5.0.0.12182 2009.08.31 -
eSafe 7.0.17.0 2009.08.31 -
eTrust-Vet 31.6.6712 2009.08.31 -
F-Prot 4.5.1.85 2009.08.31 -
F-Secure 8.0.14470.0 2009.08.31 -
Fortinet 3.120.0.0 2009.08.31 -
GData 19 2009.08.31 -
Ikarus T3.1.1.68.0 2009.08.31 -
Jiangmin 11.0.800 2009.08.31 -
K7AntiVirus 7.10.832 2009.08.31 -
Kaspersky 7.0.0.125 2009.08.31 -
McAfee 5726 2009.08.31 -
McAfee+Artemis 5726 2009.08.31 -
McAfee-GW-Edition 6.8.5 2009.08.31 -
Microsoft 1.5005 2009.08.31 -
NOD32 4384 2009.08.31 -
Norman 2009.08.31 -
nProtect 2009.1.8.0 2009.08.31 -
Panda 10.0.2.2 2009.08.31 -
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.08.31 -
Rising 21.45.04.00 2009.08.31 -
Sophos 4.45.0 2009.08.31 -
Sunbelt 3.2.1858.2 2009.08.31 -
Symantec 1.4.4.12 2009.08.31 -
TheHacker 6.3.4.3.393 2009.08.31 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.31 -
ViRobot 2009.8.31.1909 2009.08.31 -
VirusBuster 4.6.5.0 2009.08.31 -

Information additionnelle
File size: 308224 bytes
MD5...: ead420382651a6a3164334e036a7ad8c
SHA1..: 1c08f1b7f102a9ac812182dd8ce7e5bc83330b4c
SHA256: 46350e39ff8db6715ab340b50022c4076e9634567cf108ded0e230ee8b45152a
ssdeep: 6144:5PDRrOpaOzOziasZ6wMaWlJa7MItbsdVeFkCT:NDkZdFvMaqerxsdE+CT
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1c330
timedatestamp.....: 0x3638e561 (Thu Oct 29 22:00:01 1998)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1f315 0x1f400 6.24 fd4f4cbddcd33f76b523739b629cc3b3
.rdata 0x21000 0x1c0c 0x1e00 5.39 01668df29e4d91578a2309cc44649fc8
.data 0x23000 0x4a7c 0x3800 2.51 8383ed0cfd9809552c7023805b5c9170
.rsrc 0x28000 0x27000 0x26600 6.05 42c1dd4c61184453aedd0e8b9a13fa7c

( 7 imports )
> KERNEL32.dll: DosDateTimeToFileTime, GetPrivateProfileStringA, GetCurrentProcess, LocalFileTimeToFileTime, SetFileTime, MoveFileExA, SetFilePointer, WriteFile, MoveFileA, GetFileAttributesA, lstrcmpA, SetEndOfFile, lstrcpynA, GetLocalTime, SetCurrentDirectoryA, GetDriveTypeA, GetDiskFreeSpaceA, CreateDirectoryA, GetLastError, GetCurrentThread, GetCurrentDirectoryA, GlobalReAlloc, FileTimeToLocalFileTime, GetFileTime, FileTimeToDosDateTime, GetPrivateProfileSectionA, SetFileAttributesA, DeleteFileA, FindNextFileA, FindClose, WinExec, Sleep, GetModuleFileNameA, GetSystemDefaultLCID, MulDiv, GetWindowsDirectoryA, GetTickCount, lstrcatA, lstrcmpiA, lstrlenA, lstrcpyA, CreateFileA, GetFileSize, GlobalAlloc, CloseHandle, GlobalLock, ReadFile, GlobalUnlock, GetModuleHandleA, GetSystemInfo, FindResourceA, LoadResource, SizeofResource, FreeResource, LockResource, OpenFile, _hwrite, _lclose, GetVersion, IsDBCSLeadByte, GetSystemDirectoryA, WriteProfileSectionA, WritePrivateProfileSectionA, WritePrivateProfileStringA, GlobalCompact, WriteProfileStringA, GetFileType, LCMapStringA, GetProfileSectionA, GlobalHandle, SetErrorMode, GlobalFree, LoadLibraryA, GetProcAddress, FreeLibrary, FindFirstFileA, RemoveDirectoryA, RtlUnwind, GetStdHandle, SetHandleCount, GetOEMCP, GetACP, GetCPInfo, WideCharToMultiByte, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, MultiByteToWideChar, FreeEnvironmentStringsA, UnhandledExceptionFilter, TerminateProcess, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetSystemTime, GetTimeZoneInformation, ExitProcess, GetCommandLineA, GetStartupInfoA, HeapFree, HeapAlloc, LCMapStringW, GetStringTypeA, GetStringTypeW, CompareStringA, CompareStringW, SetEnvironmentVariableA, HeapReAlloc
> USER32.dll: SetDlgItemTextA, LoadStringA, MessageBoxA, EndDialog, DialogBoxParamA, wsprintfA, PeekMessageA, SendDlgItemMessageA, BeginPaint, EndPaint, DefWindowProcA, LoadCursorA, GetClassInfoA, OemToCharA, KillTimer, PostQuitMessage, RegisterClassA, GetSysColor, IsDialogMessageA, CharLowerA, CreateWindowExA, EnableWindow, GetWindow, GetClassNameA, CharUpperA, GetWindowTextA, GetDlgItem, SendMessageA, PostMessageA, SetWindowTextA, GetSystemMetrics, SetWindowPos, ShowWindow, UpdateWindow, SetFocus, IsWindow, RegisterWindowMessageA, GetDC, ReleaseDC, ScreenToClient, SetTimer, LoadIconA, DestroyWindow, LoadBitmapA, CreateDialogParamA, InvalidateRect, IsWindowVisible, CharNextA, InflateRect, CharPrevA, CharToOemA, DdeGetData, DdeFreeDataHandle, DdeConnect, DdeClientTransaction, DdeGetLastError, DdeDisconnect, DdeFreeStringHandle, DdeUninitialize, DdeInitializeA, DdeCreateStringHandleA, ExitWindowsEx, FindWindowA, GetClientRect, FillRect, SetRect, SetRectEmpty, GetWindowLongA, GetWindowRect, DispatchMessageA, TranslateMessage, MessageBeep
> GDI32.dll: CreateDIBitmap, SelectPalette, GetDeviceCaps, CreatePalette, GetSystemPaletteEntries, LineTo, MoveToEx, DeleteObject, CreatePen, CreateFontIndirectA, GetObjectA, DeleteDC, BitBlt, CreateCompatibleDC, RestoreDC, Rectangle, GetStockObject, CreateSolidBrush, IntersectClipRect, SaveDC, CreateCompatibleBitmap, SetBkColor, CreateBitmap, SetPixel, GetTextExtentPointA, SelectObject, RealizePalette
> comdlg32.dll: GetOpenFileNameA, GetSaveFileNameA
> ADVAPI32.dll: AllocateAndInitializeSid, RegCloseKey, RegConnectRegistryA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, CloseServiceHandle, OpenSCManagerA, FreeSid, RegCreateKeyExA, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, RegOpenKeyA, RegDeleteKeyA, RegEnumKeyA, RegSetValueExA, RegQueryValueExA, RegDeleteValueA, RegEnumValueA, EqualSid, GetTokenInformation, OpenThreadToken
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)



c:\documents and settings\Admin\Application Data\Thinstall\Total Video Converter 3.11 070908\100000029a00002h\explorer.exe

Fichier explorer.exe reçu le 2009.08.31 17:49:34 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 6/41 (14.64%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.31 -
AhnLab-V3 5.0.0.2 2009.08.31 -
AntiVir 7.9.1.7 2009.08.31 -
Antiy-AVL 2.0.3.7 2009.08.31 -
Authentium 5.1.2.4 2009.08.31 W32/Trojan2.HDMJ
Avast 4.8.1335.0 2009.08.31 -
AVG 8.5.0.406 2009.08.31 -
BitDefender 7.2 2009.08.31 -
CAT-QuickHeal 10.00 2009.08.31 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.08.31 -
Comodo 2124 2009.08.31 -
DrWeb 5.0.0.12182 2009.08.31 -
eSafe 7.0.17.0 2009.08.31 -
eTrust-Vet 31.6.6712 2009.08.31 -
F-Prot 4.5.1.85 2009.08.31 W32/Trojan2.HDMJ
F-Secure 8.0.14470.0 2009.08.31 -
Fortinet 3.120.0.0 2009.08.31 -
GData 19 2009.08.31 -
Ikarus T3.1.1.68.0 2009.08.31 -
Jiangmin 11.0.800 2009.08.31 -
K7AntiVirus 7.10.832 2009.08.31 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.08.31 -
McAfee 5726 2009.08.31 -
McAfee+Artemis 5726 2009.08.31 Suspect-29!08820BF38D39
McAfee-GW-Edition 6.8.5 2009.08.31 -
Microsoft 1.5005 2009.08.31 -
NOD32 4385 2009.08.31 -
Norman 2009.08.31 -
nProtect 2009.1.8.0 2009.08.31 -
Panda 10.0.2.2 2009.08.31 -
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.08.31 -
Rising 21.45.04.00 2009.08.31 Packer.Win32.UnkPacker.b [Suspicious]
Sophos 4.45.0 2009.08.31 -
Sunbelt 3.2.1858.2 2009.08.31 -
Symantec 1.4.4.12 2009.08.31 -
TheHacker 6.3.4.3.393 2009.08.31 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.31 -
ViRobot 2009.8.31.1909 2009.08.31 -
VirusBuster 4.6.5.0 2009.08.31 -

Information additionnelle
File size: 8704 bytes
MD5...: 08820bf38d398074e40c78a53d0defe8
SHA1..: d73fb7abfe89968df1b0f300096197840b42ed8b
SHA256: 358a544bfc0e2f2abf325715557d7ca8aa228e181260e8a3307a8e14753da00e
ssdeep: 96:/6Qu9Y1fjLFOjviacgyw8bH5ToUsQj83W0Z/IW6n/ZwxY2655qyol7/:/y9qj
ATiaPyN2fVIXnxwxYb507
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1f26
timedatestamp.....: 0x46d297be (Mon Aug 27 09:22:06 2007)
machinetype.......: 0x14c (I386)

( 1 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x299000 0x2000 5.06 1f14a97959fc65656d787bb76aef24a3

( 2 imports )
> KERNEL32.dll: ExitProcess, FormatMessageA, GetLastError, SetLastError, VirtualAlloc, CloseHandle, MapViewOfFile, CreateFileMappingA, VirtualFree, GetProcAddress, VirtualProtect, LoadLibraryA, GetModuleHandleA, GetModuleFileNameA, GetModuleFileNameW, SetEnvironmentVariableW, SetEnvironmentVariableA, WideCharToMultiByte, UnmapViewOfFile, lstrcpynW, GetFullPathNameW, GetFullPathNameA, HeapAlloc, GetProcessHeap, GetFileSize, ReadFile, SetFilePointer, CreateFileW, GetEnvironmentVariableW, CreateFileA, GetEnvironmentVariableA, GetVersion
> USER32.dll: MessageBoxA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.5%)
DOS Executable Generic (49.5%)
VXD Driver (0.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)



c:\windows\system32\870D8849F9.dll

Fichier 870D8849F9.dll reçu le 2009.08.31 17:57:07 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.31 -
AhnLab-V3 5.0.0.2 2009.08.31 -
AntiVir 7.9.1.7 2009.08.31 -
Antiy-AVL 2.0.3.7 2009.08.31 -
Authentium 5.1.2.4 2009.08.31 -
Avast 4.8.1335.0 2009.08.31 -
AVG 8.5.0.406 2009.08.31 -
BitDefender 7.2 2009.08.31 -
CAT-QuickHeal 10.00 2009.08.31 -
ClamAV 0.94.1 2009.08.31 -
Comodo 2124 2009.08.31 -
DrWeb 5.0.0.12182 2009.08.31 -
eSafe 7.0.17.0 2009.08.31 -
eTrust-Vet 31.6.6712 2009.08.31 -
F-Prot 4.5.1.85 2009.08.31 -
F-Secure 8.0.14470.0 2009.08.31 -
Fortinet 3.120.0.0 2009.08.31 -
GData 19 2009.08.31 -
Ikarus T3.1.1.68.0 2009.08.31 -
Jiangmin 11.0.800 2009.08.31 -
K7AntiVirus 7.10.832 2009.08.31 -
Kaspersky 7.0.0.125 2009.08.31 -
McAfee 5726 2009.08.31 -
McAfee+Artemis 5726 2009.08.31 -
McAfee-GW-Edition 6.8.5 2009.08.31 -
Microsoft 1.5005 2009.08.31 -
NOD32 4385 2009.08.31 -
Norman 2009.08.31 -
nProtect 2009.1.8.0 2009.08.31 -
Panda 10.0.2.2 2009.08.31 -
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.08.31 -
Rising 21.45.04.00 2009.08.31 -
Sophos 4.45.0 2009.08.31 -
Sunbelt 3.2.1858.2 2009.08.31 -
Symantec 1.4.4.12 2009.08.31 -
TheHacker 6.3.4.3.393 2009.08.31 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.31 -
ViRobot 2009.8.31.1909 2009.08.31 -
VirusBuster 4.6.5.0 2009.08.31 -

Information additionnelle
File size: 80 bytes
MD5...: bee6679f1245a531360d45edf53f521d
SHA1..: fe00effe3e9f2a36e301e415bedca9b6b4c2e145
SHA256: a35e81630fb270c724dabcf96d88f09c3fcb491bb7b55e112a18fad6a1520bf2
ssdeep: 3:slT2l//ljRiGGPsQER:ETgEGGPT4
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: MS Flight Simulator Aircraft Performance Info (100.0%)



c:\windows\system32\F949880D87.sys

Fichier F949880D87.sys reçu le 2009.08.31 17:59:58 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.31 -
AhnLab-V3 5.0.0.2 2009.08.31 -
AntiVir 7.9.1.7 2009.08.31 -
Antiy-AVL 2.0.3.7 2009.08.31 -
Authentium 5.1.2.4 2009.08.31 -
Avast 4.8.1335.0 2009.08.31 -
AVG 8.5.0.406 2009.08.31 -
BitDefender 7.2 2009.08.31 -
CAT-QuickHeal 10.00 2009.08.31 -
ClamAV 0.94.1 2009.08.31 -
Comodo 2124 2009.08.31 -
DrWeb 5.0.0.12182 2009.08.31 -
eSafe 7.0.17.0 2009.08.31 -
eTrust-Vet 31.6.6712 2009.08.31 -
F-Prot 4.5.1.85 2009.08.31 -
F-Secure 8.0.14470.0 2009.08.31 -
Fortinet 3.120.0.0 2009.08.31 -
GData 19 2009.08.31 -
Ikarus T3.1.1.68.0 2009.08.31 -
Jiangmin 11.0.800 2009.08.31 -
K7AntiVirus 7.10.832 2009.08.31 -
Kaspersky 7.0.0.125 2009.08.31 -
McAfee 5726 2009.08.31 -
McAfee+Artemis 5726 2009.08.31 -
McAfee-GW-Edition 6.8.5 2009.08.31 -
Microsoft 1.5005 2009.08.31 -
NOD32 4385 2009.08.31 -
Norman 2009.08.31 -
nProtect 2009.1.8.0 2009.08.31 -
Panda 10.0.2.2 2009.08.31 -
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.08.31 -
Rising 21.45.04.00 2009.08.31 -
Sophos 4.45.0 2009.08.31 -
Sunbelt 3.2.1858.2 2009.08.31 -
Symantec 1.4.4.12 2009.08.31 -
TheHacker 6.3.4.3.393 2009.08.31 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.31 -
ViRobot 2009.8.31.1909 2009.08.31 -
VirusBuster 4.6.5.0 2009.08.31 -

Information additionnelle
File size: 168 bytes
MD5...: 8b238113cca7f10196a8f3f4a5bab380
SHA1..: 18692fa67b4cdafad696d45e5685d3656e43fee2
SHA256: 7dcd6bcd3fc00f24b67f80c8258823830e05dfef165735515a91d56fa20c2735
ssdeep: 3:hl/E0hq/tS7CApoqiQ//llR9En:Xc1S7CAZtf9E
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: MS Flight Simulator Aircraft Performance Info (100.0%)
0
Réponse 20 / 53
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
31 août 2009 à 20:23
Salut,


on continue ... dans l'ordre :



1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


File::
c:\documents and settings\Admin\Application Data\Thinstall\Total Video Converter 3.11 070908\100000029a00002h\explorer.exe

Driver::
npggsvc


Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...


2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


=========================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


0

Discussions similaires

Comment récupérer un compte Snapchat supprimer ?
Jaja -
Yasmine -

24 réponses
Supprime sur snap mais comment être re ajouté
Nini -
Hirao -

10 réponses
Comment supprimer un compte Facebook sans email ni mot de passe ?
Joris77 -
Mahmoud96 -

23 réponses
supprimer une icône du bureau
johnpaul1402 -
didmed -

3 réponses
Que se passe-t-il quand on supprime un ami sur snapchat
Lilob7 -
kemani06 -

1 réponse