Pc infecté par "worm.koobface"
Fermé
romain-jean
Messages postés
6
Date d'inscription
lundi 7 septembre 2009
Statut
Membre
Dernière intervention
7 septembre 2009
-
7 sept. 2009 à 17:18
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 7 sept. 2009 à 23:55
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 7 sept. 2009 à 23:55
A voir également:
- Pc infecté par "worm.koobface"
- Test performance pc - Guide
- Reinitialiser pc - Guide
- Pc lent - Guide
- Whatsapp pc - Télécharger - Messagerie
- Double ecran pc - Guide
11 réponses
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
7 sept. 2009 à 17:19
7 sept. 2009 à 17:19
Bonjour,
--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)
--> Clique sur Continue à l'écran Disclaimer.
--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
Note : les rapports sont sauvegardés dans le dossier C:\rsit.
--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)
--> Clique sur Continue à l'écran Disclaimer.
--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
Note : les rapports sont sauvegardés dans le dossier C:\rsit.
romain-jean
Messages postés
6
Date d'inscription
lundi 7 septembre 2009
Statut
Membre
Dernière intervention
7 septembre 2009
7 sept. 2009 à 17:56
7 sept. 2009 à 17:56
-> rapport log.txt
Logfile of random's system information tool 1.06 (written by random/random)
Run by romain at 2009-09-07 17:39:48
Microsoft® Windows Vista™ Professionnel
System drive C: has 12 GB (16%) free of 76 GB
Total RAM: 894 MB (19% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:55, on 07/09/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16830)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_watchop.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\romain\Desktop\RSIT.exe
C:\Program Files\trend micro\romain.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
Logfile of random's system information tool 1.06 (written by random/random)
Run by romain at 2009-09-07 17:39:48
Microsoft® Windows Vista™ Professionnel
System drive C: has 12 GB (16%) free of 76 GB
Total RAM: 894 MB (19% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:55, on 07/09/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16830)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_watchop.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\romain\Desktop\RSIT.exe
C:\Program Files\trend micro\romain.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
7 sept. 2009 à 18:31
7 sept. 2009 à 18:31
--> Désinstalle DAEMON Tools Toolbar et Vuze Toolbar.
--> Télécharge UsbFix (de Chiquitine29 & C_XX) sur ton Bureau.
--> Lance l'installation avec les paramètres par défaut.
--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
--> Double-clique sur le raccourci UsbFix sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci UsbFix et choisir Exécuter en tant qu'administrateur)
--> Choisis l'option 1 (Recherche).
--> Laisse travailler l'outil.
--> Poste le rapport UsbFix.txt.
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
--> Télécharge UsbFix (de Chiquitine29 & C_XX) sur ton Bureau.
--> Lance l'installation avec les paramètres par défaut.
--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
--> Double-clique sur le raccourci UsbFix sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci UsbFix et choisir Exécuter en tant qu'administrateur)
--> Choisis l'option 1 (Recherche).
--> Laisse travailler l'outil.
--> Poste le rapport UsbFix.txt.
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
romain-jean
Messages postés
6
Date d'inscription
lundi 7 septembre 2009
Statut
Membre
Dernière intervention
7 septembre 2009
7 sept. 2009 à 19:56
7 sept. 2009 à 19:56
-> rapport USBfix.txt
############################## | UsbFix V6.027 |
User : romain (Administrateurs) # PC-DE-ROMAIN
Update on 07/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:47:46 | 07/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
AMD Turion(tm) 64 X2 Mobile Technology TL-50
Microsoft® Windows Vista™ Professionnel (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16830
Windows Firewall Status : Enabled
AV : VirusKeeper 2009 Pro antivirus 9.0 [ Enabled | Updated ]
C:\ -> Disque fixe local # 74,52 Go (11,63 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 1,89 Go (1,49 Go free) # FAT
############################## | Processus actifs |
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\sySTEM32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_watchop.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\conime.exe
C:\Program Files\iTunes\iTunes.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceHelper.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\distnoted.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\WerFault.exe
################## | Fichiers # Dossiers infectieux |
Présent ! C:\temp.bat
################## | Registre # Clés Run infectieuses |
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{0327fc40-f626-11dd-bdce-0016d464d9ef}
shell\AutoRun\command =E:\setup.exe
shell\dinstall\command =E:\directx\dxsetup.exe
HKCU\..\..\Explorer\MountPoints2\{09e9ca81-d2c6-11dd-a67b-0016d464d9ef}
shell\AutoRun\command =E:\n6j6pc0.com
shell\explore\Command =E:\n6j6pc0.com
shell\open\Command =E:\n6j6pc0.com
HKCU\..\..\Explorer\MountPoints2\{dc10692e-50c8-11de-ad69-b0381cae343c}
shell\AutoRun\command =F:\q9.cmd
shell\open\Command =F:\q9.cmd
################## | ! Fin du rapport # UsbFix V6.027 ! |
J'ai deux cartes SD mais pas avec moi en ce moment, j'avais remarqué que quand je les plug j'ai un message erreur de windows "com surrogate" qui apparait à chaque fois, même en le fermant.
Et sinon qd est-il de ce satané spam ?
merci de l'aide
############################## | UsbFix V6.027 |
User : romain (Administrateurs) # PC-DE-ROMAIN
Update on 07/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:47:46 | 07/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
AMD Turion(tm) 64 X2 Mobile Technology TL-50
Microsoft® Windows Vista™ Professionnel (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16830
Windows Firewall Status : Enabled
AV : VirusKeeper 2009 Pro antivirus 9.0 [ Enabled | Updated ]
C:\ -> Disque fixe local # 74,52 Go (11,63 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 1,89 Go (1,49 Go free) # FAT
############################## | Processus actifs |
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\sySTEM32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_watchop.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\conime.exe
C:\Program Files\iTunes\iTunes.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceHelper.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\distnoted.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\WerFault.exe
################## | Fichiers # Dossiers infectieux |
Présent ! C:\temp.bat
################## | Registre # Clés Run infectieuses |
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{0327fc40-f626-11dd-bdce-0016d464d9ef}
shell\AutoRun\command =E:\setup.exe
shell\dinstall\command =E:\directx\dxsetup.exe
HKCU\..\..\Explorer\MountPoints2\{09e9ca81-d2c6-11dd-a67b-0016d464d9ef}
shell\AutoRun\command =E:\n6j6pc0.com
shell\explore\Command =E:\n6j6pc0.com
shell\open\Command =E:\n6j6pc0.com
HKCU\..\..\Explorer\MountPoints2\{dc10692e-50c8-11de-ad69-b0381cae343c}
shell\AutoRun\command =F:\q9.cmd
shell\open\Command =F:\q9.cmd
################## | ! Fin du rapport # UsbFix V6.027 ! |
J'ai deux cartes SD mais pas avec moi en ce moment, j'avais remarqué que quand je les plug j'ai un message erreur de windows "com surrogate" qui apparait à chaque fois, même en le fermant.
Et sinon qd est-il de ce satané spam ?
merci de l'aide
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
7 sept. 2009 à 20:00
7 sept. 2009 à 20:00
--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
--> Double-clique sur le raccourci UsbFix présent sur ton Bureau.
--> Choisis l'option 2 (Suppression).
--> Ton Bureau disparaîtra et le PC redémarrera.
--> Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
--> Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
--> Double-clique sur le raccourci UsbFix présent sur ton Bureau.
--> Choisis l'option 2 (Suppression).
--> Ton Bureau disparaîtra et le PC redémarrera.
--> Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
--> Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
romain-jean
Messages postés
6
Date d'inscription
lundi 7 septembre 2009
Statut
Membre
Dernière intervention
7 septembre 2009
7 sept. 2009 à 20:28
7 sept. 2009 à 20:28
-> dernier rapport USBfix
############################## | UsbFix V6.027 |
User : romain (Administrateurs) # PC-DE-ROMAIN
Update on 07/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:11:11 | 07/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
AMD Turion(tm) 64 X2 Mobile Technology TL-50
Microsoft® Windows Vista™ Professionnel (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16830
Windows Firewall Status : Enabled
AV : VirusKeeper 2009 Pro antivirus 9.0 [ Enabled | Updated ]
C:\ -> Disque fixe local # 74,52 Go (11,59 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 1,89 Go (1,49 Go free) # FAT
############################## | Processus actifs |
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\sySTEM32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\PresentationSettings.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\WerFault.exe
################## | Fichiers # Dossiers infectieux |
Supprimé ! C:\temp.bat
################## | Registre # Clés Run infectieuses |
################## | Registre # Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{0327fc40-f626-11dd-bdce-0016d464d9ef}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{09e9ca81-d2c6-11dd-a67b-0016d464d9ef}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{dc10692e-50c8-11de-ad69-b0381cae343c}\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[18/09/2006 23:43|--a------|24] C:\autoexec.bat
[20/10/2008 18:56|---hs----|362] C:\Boot.BAK
[20/10/2008 20:08|-rahs----|362] C:\Boot.ini.saved
[24/08/2001 19:00|-rahs----|4952] C:\Bootfont.bin
[02/11/2006 11:53|-rahs----|438840] C:\bootmgr
[20/10/2008 20:08|-ra-s----|8192] C:\BOOTSECT.BAK
[18/09/2006 23:43|--a------|10] C:\config.sys
[19/10/2008 15:30|-rahs----|0] C:\IO.SYS
[19/10/2008 15:30|-rahs----|0] C:\MSDOS.SYS
[04/08/2004 03:38|-rahs----|47564] C:\NTDETECT.COM
[04/08/2004 03:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[07/09/2009 20:23|--a------|3540] C:\UsbFix.txt
[03/12/2008 10:05|--a------|22016] E:\resiliatiocrtmaif031208.doc
[08/12/2008 10:00|--a------|36352] E:\CV SEPT08.doc
[29/03/2009 15:57|--a------|24576] E:\lettre de motivation 2009 Nexity.doc
[29/03/2009 19:09|--a------|40448] E:\CV1 2009.doc
[19/04/2009 17:23|--a------|175045] E:\Details_prestations_Babylone19[1].pdf
[16/05/2009 21:33|--a------|48128] E:\LA FLIBUSTE BIKE 575.doc
[29/05/2009 15:19|---h-----|22528] E:\~WRL2752.tmp
[29/05/2009 17:17|--a------|27648] E:\Menu baptŠme - communion.doc
[08/07/2009 10:51|--a------|26675] E:\File0007.jpg
################## | Upload |
############################## | UsbFix V6.027 |
User : romain (Administrateurs) # PC-DE-ROMAIN
Update on 07/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:11:11 | 07/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
AMD Turion(tm) 64 X2 Mobile Technology TL-50
Microsoft® Windows Vista™ Professionnel (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16830
Windows Firewall Status : Enabled
AV : VirusKeeper 2009 Pro antivirus 9.0 [ Enabled | Updated ]
C:\ -> Disque fixe local # 74,52 Go (11,59 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 1,89 Go (1,49 Go free) # FAT
############################## | Processus actifs |
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\sySTEM32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\PresentationSettings.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\WerFault.exe
################## | Fichiers # Dossiers infectieux |
Supprimé ! C:\temp.bat
################## | Registre # Clés Run infectieuses |
################## | Registre # Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{0327fc40-f626-11dd-bdce-0016d464d9ef}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{09e9ca81-d2c6-11dd-a67b-0016d464d9ef}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{dc10692e-50c8-11de-ad69-b0381cae343c}\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[18/09/2006 23:43|--a------|24] C:\autoexec.bat
[20/10/2008 18:56|---hs----|362] C:\Boot.BAK
[20/10/2008 20:08|-rahs----|362] C:\Boot.ini.saved
[24/08/2001 19:00|-rahs----|4952] C:\Bootfont.bin
[02/11/2006 11:53|-rahs----|438840] C:\bootmgr
[20/10/2008 20:08|-ra-s----|8192] C:\BOOTSECT.BAK
[18/09/2006 23:43|--a------|10] C:\config.sys
[19/10/2008 15:30|-rahs----|0] C:\IO.SYS
[19/10/2008 15:30|-rahs----|0] C:\MSDOS.SYS
[04/08/2004 03:38|-rahs----|47564] C:\NTDETECT.COM
[04/08/2004 03:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[07/09/2009 20:23|--a------|3540] C:\UsbFix.txt
[03/12/2008 10:05|--a------|22016] E:\resiliatiocrtmaif031208.doc
[08/12/2008 10:00|--a------|36352] E:\CV SEPT08.doc
[29/03/2009 15:57|--a------|24576] E:\lettre de motivation 2009 Nexity.doc
[29/03/2009 19:09|--a------|40448] E:\CV1 2009.doc
[19/04/2009 17:23|--a------|175045] E:\Details_prestations_Babylone19[1].pdf
[16/05/2009 21:33|--a------|48128] E:\LA FLIBUSTE BIKE 575.doc
[29/05/2009 15:19|---h-----|22528] E:\~WRL2752.tmp
[29/05/2009 17:17|--a------|27648] E:\Menu baptŠme - communion.doc
[08/07/2009 10:51|--a------|26675] E:\File0007.jpg
################## | Upload |
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
7 sept. 2009 à 20:57
7 sept. 2009 à 20:57
--> Désinstalle UsbFix.
--> Désactive l'UAC le temps de la désinfection.
/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\
--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur afin de le lancer.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
--> Désactive l'UAC le temps de la désinfection.
/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\
--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur afin de le lancer.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
romain-jean
Messages postés
6
Date d'inscription
lundi 7 septembre 2009
Statut
Membre
Dernière intervention
7 septembre 2009
7 sept. 2009 à 21:52
7 sept. 2009 à 21:52
-> rapport ComboFix
ComboFix 09-09-06.06 - romain 07/09/2009 21:23.1.2 - NTFSx86
Microsoft® Windows Vista™ Professionnel 6.0.6000.0.1252.33.1036.18.894.244 [GMT 2:00]
Running from: c:\users\romain\Desktop\sss\ComboFix.exe
AV: VirusKeeper 2009 Pro antivirus *On-access scanning enabled* (Updated) {165EE528-D666-4745-B14E-AA998BBEC191}
SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}
SP: VirusKeeper 2009 Pro antispyware *enabled* (Updated) {165EE528-D666-4745-B14E-AA998BBEC191}
SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Created a new restore point
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\DDnsFilter
c:\program files\DDnsFilter\DDnsFilter.dll
c:\windows\010112010146101105.te
c:\windows\0101120101464950.xe
c:\windows\0101120101465149.xe
c:\windows\0101120101465154.xe
c:\windows\0101120101465249.xe
c:\windows\0101120101465349.xe
c:\windows\0101120101465449.xe
c:\windows\mstre21.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_SfX
-------\Service_ddnsfilter
((((((((((((((((((((((((( Files Created from 2009-08-07 to 2009-09-07 )))))))))))))))))))))))))))))))
.
2009-09-07 19:33 . 2009-09-07 19:37 -------- d-----w- c:\users\romain\AppData\Local\temp
2009-09-07 18:36 . 2009-09-07 18:36 75776 ---ha-w- c:\windows\system32\mlfcache.dat
2009-09-07 17:46 . 2009-09-07 18:23 -------- d-----w- C:\UsbFix
2009-09-07 15:35 . 2009-09-07 15:39 -------- d-----w- c:\program files\trend micro
2009-09-07 15:35 . 2009-09-07 15:39 -------- d-----w- C:\rsit
2009-09-07 14:58 . 2009-01-18 21:30 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-09-07 14:56 . 2009-09-07 14:57 -------- dc-h--w- c:\programdata\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-09-07 14:56 . 2009-09-07 14:58 -------- d-----w- c:\programdata\Lavasoft
2009-09-07 14:56 . 2009-09-07 14:56 -------- d-----w- c:\program files\Lavasoft
2009-09-07 14:22 . 2009-09-07 14:22 -------- d-----w- c:\program files\Enigma Software Group
2009-09-07 13:19 . 2009-09-07 13:19 -------- d-----w- c:\program files\AxBx
2009-09-07 13:16 . 2009-09-07 13:16 -------- d-----w- c:\users\romain\AppData\Roaming\Malwarebytes
2009-09-07 13:16 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-07 13:16 . 2009-09-07 13:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-07 13:16 . 2009-09-07 13:16 -------- d-----w- c:\programdata\Malwarebytes
2009-09-07 13:16 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-07 13:13 . 2009-09-07 13:13 -------- d-----w- c:\program files\CCleaner
2009-09-06 17:34 . 2009-09-06 20:55 9394 ----a-w- c:\windows\ex1234.dat
2009-09-06 17:31 . 2009-09-06 17:31 1 ---h--w- c:\windows\e323567.dat
2009-09-06 17:30 . 2009-09-06 17:30 37760 ----a-w- c:\windows\system32\drivers\Filter.sys
2009-09-06 17:30 . 2009-09-06 17:30 1 ---h--w- c:\windows\nlmark2.dat
2009-09-06 17:30 . 2009-09-06 17:30 1 ---h--w- c:\windows\hpm2.dat
2009-09-06 17:30 . 2009-09-06 17:30 1 ---h--w- c:\windows\mmsmark2.dat
2009-09-06 17:30 . 2009-09-06 17:30 18432 ----a-w- c:\windows\srpira1252258231.eXE
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-07 17:44 . 2009-02-08 21:21 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2009-09-07 13:15 . 2009-07-09 19:27 -------- d-----w- c:\users\romain\AppData\Roaming\Azureus
2009-09-05 16:37 . 2006-11-02 15:47 690832 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-05 16:37 . 2006-11-02 15:47 117572 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-05 15:06 . 2009-01-25 18:07 -------- d-----w- c:\program files\Java
2009-08-02 23:57 . 2008-12-06 20:25 -------- d-----w- c:\users\romain\AppData\Roaming\dvdcss
2009-08-02 15:12 . 2009-06-11 22:55 -------- d-----w- c:\users\romain\AppData\Roaming\DivX
2009-07-26 13:55 . 2009-07-26 13:55 680 ----a-w- c:\users\romain\AppData\Local\d3d9caps.dat
2009-07-26 11:11 . 2009-06-07 16:58 -------- d-----w- c:\program files\iTunes
2009-07-26 11:11 . 2009-07-26 11:11 -------- d-----w- c:\program files\iPod
2009-07-26 11:11 . 2008-10-21 16:17 -------- d-----w- c:\program files\Common Files\Apple
2009-07-25 03:23 . 2009-01-25 18:08 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-24 16:43 . 2008-10-21 16:22 -------- d-----w- c:\users\romain\AppData\Roaming\Apple Computer
2009-07-12 21:52 . 2008-10-20 18:13 -------- d-----w- c:\users\romain\AppData\Roaming\Skype
2009-07-12 14:00 . 2008-10-20 18:14 -------- d-----w- c:\users\romain\AppData\Roaming\skypePM
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-10-21 1006264]
"MSConfig"="c:\windows\system32\msconfig.exe" [2006-11-02 222208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"VirusKeeper"="c:\program files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe" [2009-06-26 3826048]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"UacDisableNotify"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{62297636-51D2-4382-BC9E-4C831EDB732D}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{698AF92F-3031-4AD4-BA64-945D5F19EC4A}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{2E882646-C9CF-4D58-A279-FEBD1249407A}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"TCP Query User{86106C7D-21FA-43E7-BC9B-2C3D6CBFBE71}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{7901DA9B-11A3-40BF-B4E0-B767230C7116}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"TCP Query User{1F19446B-B15F-4681-BF80-F24E6667D465}c:\\program files\\bitcomet\\bitcomet.exe"= UDP:c:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
"UDP Query User{65403DF1-9559-4CC0-AC4C-999D65FF7EED}c:\\program files\\bitcomet\\bitcomet.exe"= TCP:c:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
"TCP Query User{48B18140-EEE7-4807-9D11-44E82CD0D1A9}c:\\program files\\bitcomet\\bitcomet.exe"= UDP:c:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
"UDP Query User{20A5BE98-648E-4C4C-A9CF-16ECA7983544}c:\\program files\\bitcomet\\bitcomet.exe"= TCP:c:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
"TCP Query User{EC07B54A-56DE-4AE6-9E39-2D0D52E87687}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{B26A6CD9-37F2-442D-88B0-91EECBBE1A1D}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"TCP Query User{D6955F88-0741-45E6-BEBE-C9EEB4F1D8ED}c:\\program files\\limewire\\limewire.exe"= UDP:c:\program files\limewire\limewire.exe:LimeWire
"UDP Query User{ED694082-A0D1-46FB-870E-C102C0C3D4D9}c:\\program files\\limewire\\limewire.exe"= TCP:c:\program files\limewire\limewire.exe:LimeWire
"{41D1534E-CBB1-435B-86CA-A60D075DC174}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{B90B9ABB-8EAC-4982-AEFD-4B9478D8153E}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{B892A774-6F55-4CA4-B8F3-7A14449C610C}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync
"{1EA8E0AC-16AF-4CC3-B1D0-C84AB68CFE2A}"= UDP:57130:emuletcp
"{E7BD56D3-1DB4-4863-A058-653EFA27D207}"= TCP:49821:emule tcp
"TCP Query User{117C14DD-D2F1-4741-A51F-B3D469D79460}c:\\program files\\quicktime\\quicktimeplayer.exe"= UDP:c:\program files\quicktime\quicktimeplayer.exe:QuickTime Player
"UDP Query User{B9ABAB02-7929-4611-83AD-EEAECEC5D927}c:\\program files\\quicktime\\quicktimeplayer.exe"= TCP:c:\program files\quicktime\quicktimeplayer.exe:QuickTime Player
"TCP Query User{7E9BCAF8-9344-4C12-A60A-9D32AB3762D7}c:\\program files\\vuze\\azureus.exe"= UDP:c:\program files\vuze\azureus.exe:Azureus
"UDP Query User{D13AFC4D-6D89-4B77-A2D1-26D0D5D86581}c:\\program files\\vuze\\azureus.exe"= TCP:c:\program files\vuze\azureus.exe:Azureus
"{3551669B-F2F7-4F74-951F-C67F900491D7}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{A2FA0E7C-EBAF-4237-AAA0-6DD7F815DF40}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"{D95B1E0C-93EC-45BC-AAE6-8FF9C3524EAA}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{6541A668-A67E-4E61-84BF-29C617A44EBE}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"{788511D0-5EDD-4A01-B8B5-BF2AD61D9CDB}"= UDP:22495:bitcoTCP
"{E43DE6F6-B535-4A48-8E5B-8AD113A52C02}"= TCP:22495:BIco
"{B2A71F73-2DCD-470C-81B7-267CA9977BCD}"= UDP:8085:ddnsfilter
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R0 Lbd;Lbd;c:\windows\System32\drivers\Lbd.sys [07/09/2009 16:58 64160]
R1 Filter;Filter;c:\windows\System32\drivers\Filter.sys [06/09/2009 19:30 37760]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 921936]
R2 vkservice;VirusKeeper antivirus/antispyware;c:\program files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe [26/09/2008 10:10 1119584]
R3 WsAudioDevice_383;WsAudioDevice_383;c:\windows\System32\drivers\WsAudioDevice_383.sys [06/07/2009 18:16 16640]
S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [21/02/2009 06:11 55280]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19:08 533360]
--- Other Services/Drivers In Memory ---
*Deregistered* - mchInjDrv
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
ddnsfilter REG_MULTI_SZ ddnsfilter
.
Contents of the 'Scheduled Tasks' folder
2009-09-07 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 21:34]
.
.
------- Supplementary Scan -------
.
uStart Page = go.microsoft.com/fwlink/?linkid=69157
IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\users\romain\AppData\Roaming\Mozilla\Firefox\Profiles\9yhl0a8t.default\
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-07 21:36
Windows 6.0.6000 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
c:\users\romain\AppData\Local\Temp\catchme.dll 53248 bytes executable
scan completed successfully
hidden files: 1
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'Explorer.exe'(3664)
c:\windows\system32\BatMeter.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\System32\audiodg.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\System32\WUDFHost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\System32\wbem\unsecapp.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\System32\wbem\unsecapp.exe
c:\windows\System32\RacAgent.exe
.
**************************************************************************
.
Completion time: 2009-09-07 21:50 - machine was rebooted
ComboFix-quarantined-files.txt 2009-09-07 19:50
Pre-Run: 12 002 635 776 octets libres
Post-Run: 11 754 885 120 octets libres
207 --- E O F --- 2009-05-12 14:41
ComboFix 09-09-06.06 - romain 07/09/2009 21:23.1.2 - NTFSx86
Microsoft® Windows Vista™ Professionnel 6.0.6000.0.1252.33.1036.18.894.244 [GMT 2:00]
Running from: c:\users\romain\Desktop\sss\ComboFix.exe
AV: VirusKeeper 2009 Pro antivirus *On-access scanning enabled* (Updated) {165EE528-D666-4745-B14E-AA998BBEC191}
SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}
SP: VirusKeeper 2009 Pro antispyware *enabled* (Updated) {165EE528-D666-4745-B14E-AA998BBEC191}
SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Created a new restore point
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\DDnsFilter
c:\program files\DDnsFilter\DDnsFilter.dll
c:\windows\010112010146101105.te
c:\windows\0101120101464950.xe
c:\windows\0101120101465149.xe
c:\windows\0101120101465154.xe
c:\windows\0101120101465249.xe
c:\windows\0101120101465349.xe
c:\windows\0101120101465449.xe
c:\windows\mstre21.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_SfX
-------\Service_ddnsfilter
((((((((((((((((((((((((( Files Created from 2009-08-07 to 2009-09-07 )))))))))))))))))))))))))))))))
.
2009-09-07 19:33 . 2009-09-07 19:37 -------- d-----w- c:\users\romain\AppData\Local\temp
2009-09-07 18:36 . 2009-09-07 18:36 75776 ---ha-w- c:\windows\system32\mlfcache.dat
2009-09-07 17:46 . 2009-09-07 18:23 -------- d-----w- C:\UsbFix
2009-09-07 15:35 . 2009-09-07 15:39 -------- d-----w- c:\program files\trend micro
2009-09-07 15:35 . 2009-09-07 15:39 -------- d-----w- C:\rsit
2009-09-07 14:58 . 2009-01-18 21:30 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-09-07 14:56 . 2009-09-07 14:57 -------- dc-h--w- c:\programdata\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-09-07 14:56 . 2009-09-07 14:58 -------- d-----w- c:\programdata\Lavasoft
2009-09-07 14:56 . 2009-09-07 14:56 -------- d-----w- c:\program files\Lavasoft
2009-09-07 14:22 . 2009-09-07 14:22 -------- d-----w- c:\program files\Enigma Software Group
2009-09-07 13:19 . 2009-09-07 13:19 -------- d-----w- c:\program files\AxBx
2009-09-07 13:16 . 2009-09-07 13:16 -------- d-----w- c:\users\romain\AppData\Roaming\Malwarebytes
2009-09-07 13:16 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-07 13:16 . 2009-09-07 13:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-07 13:16 . 2009-09-07 13:16 -------- d-----w- c:\programdata\Malwarebytes
2009-09-07 13:16 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-07 13:13 . 2009-09-07 13:13 -------- d-----w- c:\program files\CCleaner
2009-09-06 17:34 . 2009-09-06 20:55 9394 ----a-w- c:\windows\ex1234.dat
2009-09-06 17:31 . 2009-09-06 17:31 1 ---h--w- c:\windows\e323567.dat
2009-09-06 17:30 . 2009-09-06 17:30 37760 ----a-w- c:\windows\system32\drivers\Filter.sys
2009-09-06 17:30 . 2009-09-06 17:30 1 ---h--w- c:\windows\nlmark2.dat
2009-09-06 17:30 . 2009-09-06 17:30 1 ---h--w- c:\windows\hpm2.dat
2009-09-06 17:30 . 2009-09-06 17:30 1 ---h--w- c:\windows\mmsmark2.dat
2009-09-06 17:30 . 2009-09-06 17:30 18432 ----a-w- c:\windows\srpira1252258231.eXE
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-07 17:44 . 2009-02-08 21:21 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2009-09-07 13:15 . 2009-07-09 19:27 -------- d-----w- c:\users\romain\AppData\Roaming\Azureus
2009-09-05 16:37 . 2006-11-02 15:47 690832 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-05 16:37 . 2006-11-02 15:47 117572 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-05 15:06 . 2009-01-25 18:07 -------- d-----w- c:\program files\Java
2009-08-02 23:57 . 2008-12-06 20:25 -------- d-----w- c:\users\romain\AppData\Roaming\dvdcss
2009-08-02 15:12 . 2009-06-11 22:55 -------- d-----w- c:\users\romain\AppData\Roaming\DivX
2009-07-26 13:55 . 2009-07-26 13:55 680 ----a-w- c:\users\romain\AppData\Local\d3d9caps.dat
2009-07-26 11:11 . 2009-06-07 16:58 -------- d-----w- c:\program files\iTunes
2009-07-26 11:11 . 2009-07-26 11:11 -------- d-----w- c:\program files\iPod
2009-07-26 11:11 . 2008-10-21 16:17 -------- d-----w- c:\program files\Common Files\Apple
2009-07-25 03:23 . 2009-01-25 18:08 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-24 16:43 . 2008-10-21 16:22 -------- d-----w- c:\users\romain\AppData\Roaming\Apple Computer
2009-07-12 21:52 . 2008-10-20 18:13 -------- d-----w- c:\users\romain\AppData\Roaming\Skype
2009-07-12 14:00 . 2008-10-20 18:14 -------- d-----w- c:\users\romain\AppData\Roaming\skypePM
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-10-21 1006264]
"MSConfig"="c:\windows\system32\msconfig.exe" [2006-11-02 222208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"VirusKeeper"="c:\program files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe" [2009-06-26 3826048]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"UacDisableNotify"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{62297636-51D2-4382-BC9E-4C831EDB732D}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{698AF92F-3031-4AD4-BA64-945D5F19EC4A}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{2E882646-C9CF-4D58-A279-FEBD1249407A}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"TCP Query User{86106C7D-21FA-43E7-BC9B-2C3D6CBFBE71}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{7901DA9B-11A3-40BF-B4E0-B767230C7116}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"TCP Query User{1F19446B-B15F-4681-BF80-F24E6667D465}c:\\program files\\bitcomet\\bitcomet.exe"= UDP:c:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
"UDP Query User{65403DF1-9559-4CC0-AC4C-999D65FF7EED}c:\\program files\\bitcomet\\bitcomet.exe"= TCP:c:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
"TCP Query User{48B18140-EEE7-4807-9D11-44E82CD0D1A9}c:\\program files\\bitcomet\\bitcomet.exe"= UDP:c:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
"UDP Query User{20A5BE98-648E-4C4C-A9CF-16ECA7983544}c:\\program files\\bitcomet\\bitcomet.exe"= TCP:c:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
"TCP Query User{EC07B54A-56DE-4AE6-9E39-2D0D52E87687}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{B26A6CD9-37F2-442D-88B0-91EECBBE1A1D}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"TCP Query User{D6955F88-0741-45E6-BEBE-C9EEB4F1D8ED}c:\\program files\\limewire\\limewire.exe"= UDP:c:\program files\limewire\limewire.exe:LimeWire
"UDP Query User{ED694082-A0D1-46FB-870E-C102C0C3D4D9}c:\\program files\\limewire\\limewire.exe"= TCP:c:\program files\limewire\limewire.exe:LimeWire
"{41D1534E-CBB1-435B-86CA-A60D075DC174}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{B90B9ABB-8EAC-4982-AEFD-4B9478D8153E}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{B892A774-6F55-4CA4-B8F3-7A14449C610C}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync
"{1EA8E0AC-16AF-4CC3-B1D0-C84AB68CFE2A}"= UDP:57130:emuletcp
"{E7BD56D3-1DB4-4863-A058-653EFA27D207}"= TCP:49821:emule tcp
"TCP Query User{117C14DD-D2F1-4741-A51F-B3D469D79460}c:\\program files\\quicktime\\quicktimeplayer.exe"= UDP:c:\program files\quicktime\quicktimeplayer.exe:QuickTime Player
"UDP Query User{B9ABAB02-7929-4611-83AD-EEAECEC5D927}c:\\program files\\quicktime\\quicktimeplayer.exe"= TCP:c:\program files\quicktime\quicktimeplayer.exe:QuickTime Player
"TCP Query User{7E9BCAF8-9344-4C12-A60A-9D32AB3762D7}c:\\program files\\vuze\\azureus.exe"= UDP:c:\program files\vuze\azureus.exe:Azureus
"UDP Query User{D13AFC4D-6D89-4B77-A2D1-26D0D5D86581}c:\\program files\\vuze\\azureus.exe"= TCP:c:\program files\vuze\azureus.exe:Azureus
"{3551669B-F2F7-4F74-951F-C67F900491D7}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{A2FA0E7C-EBAF-4237-AAA0-6DD7F815DF40}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"{D95B1E0C-93EC-45BC-AAE6-8FF9C3524EAA}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{6541A668-A67E-4E61-84BF-29C617A44EBE}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"{788511D0-5EDD-4A01-B8B5-BF2AD61D9CDB}"= UDP:22495:bitcoTCP
"{E43DE6F6-B535-4A48-8E5B-8AD113A52C02}"= TCP:22495:BIco
"{B2A71F73-2DCD-470C-81B7-267CA9977BCD}"= UDP:8085:ddnsfilter
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R0 Lbd;Lbd;c:\windows\System32\drivers\Lbd.sys [07/09/2009 16:58 64160]
R1 Filter;Filter;c:\windows\System32\drivers\Filter.sys [06/09/2009 19:30 37760]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 921936]
R2 vkservice;VirusKeeper antivirus/antispyware;c:\program files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe [26/09/2008 10:10 1119584]
R3 WsAudioDevice_383;WsAudioDevice_383;c:\windows\System32\drivers\WsAudioDevice_383.sys [06/07/2009 18:16 16640]
S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [21/02/2009 06:11 55280]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19:08 533360]
--- Other Services/Drivers In Memory ---
*Deregistered* - mchInjDrv
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
ddnsfilter REG_MULTI_SZ ddnsfilter
.
Contents of the 'Scheduled Tasks' folder
2009-09-07 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 21:34]
.
.
------- Supplementary Scan -------
.
uStart Page = go.microsoft.com/fwlink/?linkid=69157
IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\users\romain\AppData\Roaming\Mozilla\Firefox\Profiles\9yhl0a8t.default\
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-07 21:36
Windows 6.0.6000 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
c:\users\romain\AppData\Local\Temp\catchme.dll 53248 bytes executable
scan completed successfully
hidden files: 1
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'Explorer.exe'(3664)
c:\windows\system32\BatMeter.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\System32\audiodg.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\System32\WUDFHost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\System32\wbem\unsecapp.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\System32\wbem\unsecapp.exe
c:\windows\System32\RacAgent.exe
.
**************************************************************************
.
Completion time: 2009-09-07 21:50 - machine was rebooted
ComboFix-quarantined-files.txt 2009-09-07 19:50
Pre-Run: 12 002 635 776 octets libres
Post-Run: 11 754 885 120 octets libres
207 --- E O F --- 2009-05-12 14:41
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
7 sept. 2009 à 22:02
7 sept. 2009 à 22:02
---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
romain-jean
Messages postés
6
Date d'inscription
lundi 7 septembre 2009
Statut
Membre
Dernière intervention
7 septembre 2009
7 sept. 2009 à 22:35
7 sept. 2009 à 22:35
-> rapport Malwarebytes'
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2754
Windows 6.0.6000
07/09/2009 22:26:12
mbam-log-2009-09-07 (22-26-07).txt
Type de recherche: Examen rapide
Eléments examinés: 82863
Temps écoulé: 7 minute(s), 3 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\ddnsfilter (Trojan.DNSChanger) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\0535251103110107106.yux (KoobFace.Trace) -> No action taken.
C:\Windows\mmsmark2.dat (KoobFace.Trace) -> No action taken.
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2754
Windows 6.0.6000
07/09/2009 22:26:12
mbam-log-2009-09-07 (22-26-07).txt
Type de recherche: Examen rapide
Eléments examinés: 82863
Temps écoulé: 7 minute(s), 3 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\ddnsfilter (Trojan.DNSChanger) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\0535251103110107106.yux (KoobFace.Trace) -> No action taken.
C:\Windows\mmsmark2.dat (KoobFace.Trace) -> No action taken.
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
7 sept. 2009 à 23:55
7 sept. 2009 à 23:55
/!\ Seul romain-jean peut suivre cette procédure. /!\
1/
---> Ouvre le Bloc-notes.
---> Copie le texte ci-dessous par sélection puis Ctrl+C :
KillAll::
File::
c:\windows\srpira1252258231.eXE
c:\windows\hpm2.dat
c:\windows\nlmark2.dat
c:\windows\e323567.dat
c:\windows\ex1234.dat
Folder::
c:\program files\DAEMON Tools Toolbar
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{B2A71F73-2DCD-470C-81B7-267CA9977BCD}"=-
--> Colle la sélection dans le Bloc-notes.
--> Enregistre ce fichier sur le Bureau (Impératif).
--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.
2/
--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif
--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.
--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
--> Une fois le scan achevé, un rapport va s'afficher : poste-le.
--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt
1/
---> Ouvre le Bloc-notes.
---> Copie le texte ci-dessous par sélection puis Ctrl+C :
KillAll::
File::
c:\windows\srpira1252258231.eXE
c:\windows\hpm2.dat
c:\windows\nlmark2.dat
c:\windows\e323567.dat
c:\windows\ex1234.dat
Folder::
c:\program files\DAEMON Tools Toolbar
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{B2A71F73-2DCD-470C-81B7-267CA9977BCD}"=-
--> Colle la sélection dans le Bloc-notes.
--> Enregistre ce fichier sur le Bureau (Impératif).
--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.
2/
--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif
--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.
--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
--> Une fois le scan achevé, un rapport va s'afficher : poste-le.
--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt