Bagle - HELP!

Résolu
nddefossez Messages postés 27 Statut Membre -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

Après plusieurs jours de galères pour éradiquer le virus Bagle en suivant les recommandations des experts sur le forum, je dois avouer mon échec :(

Mon problème vient du fait que le programme Findykill version 5 plante systématiquement à 40% d'éradication.
C'est systématique que j'inhibe ou pas mon antivirus et mon parefeu.
La version 4 détecte et ne plante pas mais il n'éradique pas entièrement le virus qui revient de plus belle.

Merci pour votre aide.

Je vous joint le rapport de Findykill (option 1):

############################## | FindyKill V5.011 |

# User : Parents (Administrateurs) # BUREAU
# Update on 11/09/2009 by Chiquitine29
# Start at: 19:01:34 | 12/09/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# AMD Athlon(tm) 64 Processor 3500+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | (!) Outdated ]
# FW : COMODO Firewall[ Enabled ]3.9

# C:\ # Disque fixe local # 233,75 Go (55,05 Go free) [Racine de Bureau] # NTFS
# D:\ # Disque fixe local # 465,76 Go (81,6 Go free) [Données] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM

############################## | Processus actifs |

################## | C: |

################## | C:\WINDOWS |

################## | C:\WINDOWS\system32 |

################## | C:\WINDOWS\system32\drivers |

################## | C:\Documents and Settings\Parents\Application Data |

Présent ! C:\Documents and Settings\Parents\Application Data\drivers
Présent ! C:\Documents and Settings\Parents\Application Data\drivers\11s11ro1s1a2.sys
Présent ! C:\Documents and Settings\Parents\Application Data\drivers\downld
Présent ! C:\Documents and Settings\Parents\Application Data\drivers\winupgro.exe

################## | Temporary Internet Files |

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-602162358-1563985344-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-602162358-1563985344-839522115-1003\Software\bisoft]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-602162358-1563985344-839522115-1003\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # FindyKill V5.011 ! |
Configuration: Windows XP
Firefox 3.0.14

36 réponses

  • 1
  • 2
  1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Bonsoir,
    XaTon, pourquoi faire Smitfraudfix sur du Bagle alors que Findykill te montre l'infection ?!
    C'est vraiment une désinfection qui démarre du pied gauche !
    3
  2. XaTon Messages postés 2160 Statut Membre 208
     
    Bonjour ,

    ~~~~~~~~~~~~~~> Mode sans echec <~~~~~~~~~~~~~~~~~~~

    • Redémarre ton PC, et dès qu'il se relance tape la touche F8 ou F5 toutes les secondes. Tu verras alors une fenêtre

    • A l'aide des touches directionnelles, sélectionne Mode sans échec, qui sera ainsi mis en surbrillance. Appui ensuite sur la touche Enter ou Entrée.
    Un nouvel écran apparaît :

    • Choisi le système d'exploitation qui démarreras en Mode sans échec avec les touches directionnelles et validez en appuyant sur la touche Enter ou Entrée.

    /!\ Le Mode sans échec peut mettre un certain temps à démarrer, soit patient !

    ~~~~~~~~~~~~~~> SmitFraudfix <~~~~~~~~~~~~~~~~~~~

    /!\ Cette manipulation est a faire en mode sans échec /!\

    • Relance SmitFraudfix
    • Cette fois-ci tu vas choisir l'option 2 ( Désinfection ) .

    • Une fois l'option 2 lancée , laisse le scan ce terminer

    • Note
    SmitFraudfix peut demander de nettoyer le registre, répondre oui à la question, pour cela taper sur la touche o puis valider par la touche entrée.

    • Une fois le nettoyage terminé, SmitFraudfix ouvre le rapport de nettoyage sur le bloc-note.
    • La connexion internet ne fonctionne pas en mode sans échec, enregistre le rapport sur le bureau.

    • Redémarrer l'ordinateur en mode normal
    • Sur ton bureau doit se trouver le rapport
    • Poste le moi sur le forum

    ~~~~~~~~~~~~~~~> Hijack This <~~~~~~~~~~~~~~~~~~~

    • Telecharger Hijack

    › http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

    Une fois Hijack installer, exécuter le :
    • Cliquer sur "Do a system scan and save a logfile"

    • Un fichier texte s'ouvre, si ce n'est pas le cas celui-ci se trouve dans le même dossier que hijackthis.exe .
    • Faire édition / sélectionner tout
    • Clic droit / copier

    • Poste moi le rapport entier
    0
  3. nddefossez Messages postés 27 Statut Membre
     
    Bonsoir Xaton, merci de te charger de mon cas.

    Tu es impressionnant de réactivité. J'avoue l'être un peu moins.
    Il faut dire que comme Bagle a bloqué le "mode sans échec", j'ai dû trifouiller un peu pour le remettre d'aplomb.
    Je ne disposais pas de SmitFraudFix, je l'ai donc téléchargé sur http://siri.urz.free.fr/Fix/SmitfraudFix.exe.

    Pour info, j'utilise mon portable pour communiquer avec toi car je n'ai pas trop confiance de lancer Firefox sur mon PC vérolé.

    Voici comme demandé le rapport SmitFraudfix:
    SmitFraudFix v2.423

    Rapport fait à 20:03:22,42, 12/09/2009
    Executé à partir de C:\Documents and Settings\Parents\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost
    127.255.255.255 serial.alcohol-soft.com
    94.23.6.217 status.wow-europe.com

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.
    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE16CF88-9DB4-4190-91B6-57630E81D581}: NameServer=156.154.70.25,156.154.71.25
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: NameServer=156.154.70.25,156.154.71.25
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE16CF88-9DB4-4190-91B6-57630E81D581}: NameServer=156.154.70.25,156.154.71.25
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: NameServer=156.154.70.25,156.154.71.25
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{DE16CF88-9DB4-4190-91B6-57630E81D581}: NameServer=156.154.70.25,156.154.71.25
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: NameServer=156.154.70.25,156.154.71.25
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{4D98DAD5-D0C3-46FA-82BB-3BF330D42F38}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: NameServer=213.36.80.1,192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK.2

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Voici comme demandé le rapport Hijack:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:21:19, on 12/09/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
    C:\WINDOWS\system32\bgsvcgen.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    C:\Program Files\Mouse\Amoumain.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\CameraAssistant.exe
    C:\WINDOWS\system32\ElkCtrl.exe
    C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\Program Files\InkSaver\InkSaver.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Comodo\COMODO Internet Security\cfp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\Parents\Local Settings\Apps\F.lux\flux.exe
    C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\Parents\Bureau\HiJackThis.exe
    C:\Program Files\Mozilla Firefox\firefox.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://portail.free.fr/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
    O1 - Hosts: 94.23.6.217 status.wow-europe.com
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
    O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\Mouse\Amoumain.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
    O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
    O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Grid Service] "C:\Program Files\GridService\peer.exe" -n Grid
    O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe
    O4 - HKLM\..\Run: [InkSaver] C:\Program Files\InkSaver\InkSaver.exe hide
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\Comodo\COMODO Internet Security\cfp.exe" -h
    O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
    O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\NPSAgent.exe
    O4 - HKCU\..\Run: [F.lux] "C:\Documents and Settings\Parents\Local Settings\Apps\F.lux\flux.exe" /noshow
    O4 - HKCU\..\Run: [sTabLauncher] C:\Program Files\sTabLauncher\sTabLauncher.exe
    O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol 120\axcmd.exe" /automount
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
    O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
    O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet\\Parser.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet\\Wizard.html
    O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet\\AddUrl.html
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O15 - Trusted Zone: http://a248.e.akamai.net
    O15 - Trusted Zone: http://*.bitdefender.com
    O15 - Trusted Zone: https://www.credit-agricole.fr/ca-normandie/particulier.html
    O15 - Trusted Zone: https://www.kaspersky.fr/
    O15 - Trusted Zone: http://ssl-hints.netflame.cc
    O15 - Trusted Zone: https://www.zebulon.fr/
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DE16CF88-9DB4-4190-91B6-57630E81D581}: NameServer = 156.154.70.25,156.154.71.25
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: NameServer = 156.154.70.25,156.154.71.25
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
    O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe
    O23 - Service: FsUsbExService - Unknown owner - C:\WINDOWS\system32\FsUsbExService.Exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
    O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware Sandra Lite XII\RpcAgentSrv.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    0
  4. XaTon Messages postés 2160 Statut Membre 208
     
    ~~~~~~~~~~~~~~> Malwarebytes <~~~~~~~~~~~~~~~~~~~

    • Télécharger Malwarebytes

    › https://download.cnet.com/malwarebytes-anti-malware/windows.html?part=dl-10804572&subj=dl&tag=button

    • Enregistre le sur le bureau
    • Double clique sur le fichier téléchargé pour lancer le processus d’installation
    • Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware
    • Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
    • Une fois la mise à jour terminée, ferme Malwarebytes

    • Double-clique sur l’icône de malwarebytes pour le relancer
    • Dans l’onglet, Recherche, probablement ouvert par défaut,
    • Sélectionne Exécuter un examen complet
    • Clique sur Rechercher
    • Le scan démarre

    • A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
    • Clique sur Ok pour poursuivre.
    • Si des malwares ont été détectés, cliques sur Afficher les résultats
    • Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    • Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse.
    • Rends toi dans l’onglet rapport/log
    • Tu clique dessus pour l’afficher.
    • Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
    • Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
    • Tu clique droit dans le cadre de la réponse et coller
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. XaTon Messages postés 2160 Statut Membre 208
     
    alors que Findykill te montre l'infection


    D'accord mais FindyKill ne veut pas la supprimer

    Et pourquoi SmitFraud ?
    > Erreur de ma part
    0
  7. nddefossez Messages postés 27 Statut Membre
     
    Bonjour Crapoulou et XaTon,

    Voici les dernières informations.
    Je me suis permis quelques libertés hier avant votre réponse:
    1 - J'ai lancé CCleaner afin d'inhiber tous les run de lancement au démarrage.
    2 - J'ai débranché le câble Ethernet afin de garantir que Bagle ne cherche pas des petits copains à mon insu
    3 - J'ai libéré le mode sans échec pour m'y installer (quoique sans les runs, ce n'est plus aussi indispensable...)
    4 - J'ai lancé Findykill 4.7 (option 2) pour éradiquer cette saleté: les fichiers EXE sont nettoyés (en particulier winupgro.exe)
    5 - J'ai lancé Findykill 5 (option 1) pour détecter si Bagle a disparu. Il ne reste plus que les clés de registre infectées
    6 - Je te rappelle que Findykill 5 (option 2) plante systématiquement chez moi, j'ai donc supprimer à ma mano les clefs infectées récalcitrantes suivantes:
    Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s­1a]
    Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
    Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a]
    Pour permettre la suppression de ces clefs non essentielles, faire clic droit sur la clef - Autorisations - Contrôle total autorisé
    6.5 - J'ai prié :)
    7 - J'ai viré Avira (au cas où lui-même serait infecté)
    8 - J'ai relancé Findykill 5 (option 1) pour vérifier que plus rien n'est détecté -> c'est le cas
    9 - Rebrancher internet
    10 - J'ai réinstallé Avira Antivirus et Comodo parefeu avec mise à jour
    11 - J'ai fait tourner Avira en mode complet -> pas de détection
    12 - J'ai fait tourner Malwarebytes en mode complet -> pas de détection
    13 - Réactivation de la restauration système que j'avais inhibé préalablement
    14 - J'ai relancé Findykill 5 (option 1) pour vérifier que plus rien n'est détecté -> c'est le cas
    15 - Bagle semble mort MAIS:
    J'ai déjà eu ce cas rassurant jusqu'à ce que je libère les runs de démarrage. La fenêtre avec la boite de dialogue en langue asiatique réapparait -> je suis de nouveau infecté comme le confirme alors Findykill.
    Je suis donc très prudent.
    Je me propose de relancer les runs un par un mais suis très angoissé à relancer le PC...

    Extrait Malwarebytes
    Malwarebytes' Anti-Malware 1.41
    Version de la base de données: 2788
    Windows 5.1.2600 Service Pack 3

    13/09/2009 19:45:36
    mbam-log-2009-09-13 (19-45-36).txt

    Type de recherche: Examen complet (C:\|D:\|H:\|)
    Eléments examinés: 484883
    Temps écoulé: 2 hour(s), 29 minute(s), 30 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0
    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)
    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)
    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)
    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)
    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)
    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)
    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  8. XaTon Messages postés 2160 Statut Membre 208
     
    Je te rappelle que Findykill 5 (option 2) plante systématiquement chez moi, j'ai donc supprimer à ma mano les clefs infectées récalcitrantes suivantes:
    Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s­­1a]
    Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
    Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a] 


    Je pense que tu a opté pour une mauvaise solution

    ~~~~~~~~~~~~~~~> Hijack This <~~~~~~~~~~~~~~~~~~~

    • Telecharger Hijack

    › http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

    Une fois Hijack installer, exécuter le :
    • Cliquer sur "Do a system scan and save a logfile"

    • Un fichier texte s'ouvre, si ce n'est pas le cas celui-ci se trouve dans le même dossier que hijackthis.exe .
    • Faire édition / sélectionner tout
    • Clic droit / copier

    • Poste moi le rapport entier
    0
  9. nddefossez Messages postés 27 Statut Membre
     
    Voilà

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:02:29, on 14/09/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\system32\bgsvcgen.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Comodo\COMODO Internet Security\cfp.exe
    C:\Documents and Settings\Parents\Bureau\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://portail.free.fr/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
    O1 - Hosts: 94.23.6.217 status.wow-europe.com
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
    O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
    O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet\\Parser.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet\\Wizard.html
    O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet\\AddUrl.html
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O15 - Trusted Zone: http://a248.e.akamai.net
    O15 - Trusted Zone: http://*.bitdefender.com
    O15 - Trusted Zone: https://www.credit-agricole.fr/ca-normandie/particulier.html
    O15 - Trusted Zone: https://www.kaspersky.fr/
    O15 - Trusted Zone: http://ssl-hints.netflame.cc
    O15 - Trusted Zone: https://www.zebulon.fr/
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DE16CF88-9DB4-4190-91B6-57630E81D581}: NameServer = 156.154.70.25,156.154.71.25
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: NameServer = 156.154.70.25,156.154.71.25
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
    O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe
    O23 - Service: FsUsbExService - Unknown owner - C:\WINDOWS\system32\FsUsbExService.Exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
    O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware Sandra Lite XII\RpcAgentSrv.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    0
  10. nddefossez Messages postés 27 Statut Membre
     
    C'est effectivement une mauvaise solution.

    Bagle est de retour!!!
    J'arrive à le contenir (genre tri-thérapie) mais pas à l'éradiquer. Je n'arrive pas à voir où il se cache.
    Et à la moindre occasion, il repart...

    Peut-être dans:
    ################## | Registre / Clés infectieuses |
    Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
    Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
    Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
    Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
    Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

    Je sens que je vais encore me coucher tard ce soir :(

    nddefossez
    0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    si findykill passe pas fais ceci: (tout faire)

    vire tes cracks (sinon l'infection reviendra) puis

    # télécharger Hoster :
    http://www.funkytoad.com/download/HostsXpert.zip

    # Dézipper le dossier sur le bureau.
    # Lancer Hoster et cliquer sur Restore Microsoft's Hosts File

    si impossible fais RHOST

    http://siri.urz.free.fr/RHosts.php

    ___________________

    * Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    * Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.
    * Double-cliquez dessus pour l'ouvrir
    * Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
    * Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
    * Cliquez sur le bouton Explorar pour lancer l'analyse

    Si, dans le rapport,elibaga tu vois un texte semblable à celui-ci

    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
    a "virus@satinfo.es". Gracias;

    envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

    et ils mettront a jour elibaga dans les 48 heures ce qui permettra de virer le virus que tu as!!!

    ------------

    Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

    ------------

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    Kaspersky en ligne
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    0
  12. nddefossez Messages postés 27 Statut Membre
     
    Bonsoir ou bonjour (je ne sais plus trop) Jlpjlp,

    Je la sens bien ta procédure :)

    1 - Cracks virés (en fait depuis longtemps)
    2 - Restore Microsoft's Hosts File FAIT
    3 - Téléchargement ELIBAGLA v12.89 fait en mode traduction Google (l'envoi de SMS est inopérante!)
    4 - Pour info, dans cette version, "Unidad" est remplacé par "Carpeta"
    5 - Exécution de Elibagla FAIT
    6 - Il m'a effectivement demandé d'envoyer le fichier "winupgro.exe" mais il l'avait déjà détruit... Ce sera pour la prochaine fois si le virus revient.
    7 - Lancement et exécution de Combofix FAIT
    8 - Je lance Bitdefender en ligne cette nuit et te mets au courant demain soir.
    9 - Merci beaucoup.

    Rapport EliBagle
    (14-9-2009 22:4:8)
    EliBagle v12.89 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Septiembre del 2009)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Por favor, envienos una muestra del fichero
    C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.89
    a "virus@satinfo.es". Gracias.
    C:\DOCUMENTS AND SETTINGS\PARENTS\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Eliminado Bagle
    C:\DOCUMENTS AND SETTINGS\PARENTS\APPLICATION DATA\DRIVERS\11S11RO1S1A2.SYS --> Eliminado Bagle(rootkit)

    (14-9-2009 22:11:30)
    EliBagle v12.89 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Septiembre del 2009)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando "C:\"

    Nº Total de Directorios: 23572
    Nº Total de Ficheros: 296853
    Nº de Ficheros Analizados: 18285
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Rapport Combofix
    ComboFix 09-09-14.02 - Parents 15/09/2009 0:28.3.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1419 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Parents\Bureau\KCbag.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Parents\Application Data\Microsoft\Clip Organizer\mstore10.mgc
    c:\documents and settings\Parents\Application Data\Microsoft\Clip Organizer\Offic10.MGC
    c:\documents and settings\Parents\Application Data\Microsoft\Installer\{8527C3D5-BA1D-46E9-88D2-AF25544311A3}\NewShortcut1_8527C3D5BA1D46E988D2AF25544311A3.exe
    c:\documents and settings\Parents\Application Data\Microsoft\Installer\{8527C3D5-BA1D-46E9-88D2-AF25544311A3}\NewShortcut2_8527C3D5BA1D46E988D2AF25544311A3.exe
    c:\documents and settings\Parents\Application Data\Microsoft\Installer\{FF24F097-D090-41D2-8E9C-BAFEBBFD938C}\NewShortcut1.4DA64122_6F1D_4317_BC6A_2B3299881D1B.exe
    c:\documents and settings\Parents\Application Data\Microsoft\Installer\{FF24F097-D090-41D2-8E9C-BAFEBBFD938C}\NewShortcut2.4DA64122_6F1D_4317_BC6A_2B3299881D1B.exe
    c:\documents and settings\Parents\Application Data\Microsoft\Installer\{FF24F097-D090-41D2-8E9C-BAFEBBFD938C}\NewShortcut3.4DA64122_6F1D_4317_BC6A_2B3299881D1B.exe
    c:\documents and settings\Parents\Application Data\Microsoft\Installer\{FF24F097-D090-41D2-8E9C-BAFEBBFD938C}\NewShortcut4.4DA64122_6F1D_4317_BC6A_2B3299881D1B.exe
    c:\documents and settings\Parents\Application Data\Microsoft\Installer\{FF24F097-D090-41D2-8E9C-BAFEBBFD938C}\NewShortcut6.4DA64122_6F1D_4317_BC6A_2B3299881D1B.exe
    C:\InfoSat.txt
    C:\Muestras
    c:\muestras\WINUPGRO.EXE.Muestra EliBagle v12.89
    c:\windows\Installer\3b989e.msi
    c:\windows\olinkinfo.dll
    c:\windows\system32\FsUsbExService.Exe
    c:\windows\system32\install.exe
    c:\windows\system32\tmp.reg

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_NPF
    -------\Legacy_OREANS32
    -------\Service_NPF
    -------\Service_oreans32
    -------\Legacy_FsUsbExService
    -------\Service_FsUsbExService

    ((((((((((((((((((((((((((((( Fichiers créés du 2009-08-14 au 2009-09-14 ))))))))))))))))))))))))))))))))))))
    .

    2009-09-14 22:36 . 2009-09-14 22:36 53248 ----a-w- c:\temp\catchme.dll
    2009-09-14 22:36 . 2009-09-14 22:36 16384 ----atw- c:\temp\Perflib_Perfdata_678.dat
    2009-09-14 22:28 . 2009-09-14 22:28 -------- d-----w- c:\temp\WPDNSE
    2009-09-14 22:25 . 2009-09-14 22:25 -------- d-----w- c:\temp\Comodo
    2009-09-14 21:07 . 2009-09-14 22:04 -------- d-----w- c:\documents and settings\Parents\Application Data\drivers
    2009-09-13 01:02 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2009-09-13 01:02 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2009-09-13 01:02 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\program files\Avira
    2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    2009-09-12 22:40 . 2009-09-13 00:58 -------- d-----w- C:\ToolBar SD
    2009-09-12 15:37 . 2009-09-12 15:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo
    2009-09-12 15:37 . 2009-09-12 15:37 87104 ----a-w- c:\windows\system32\drivers\inspect.sys
    2009-09-12 15:37 . 2009-09-12 15:37 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
    2009-09-12 15:37 . 2009-09-12 15:37 179792 ----a-w- c:\windows\system32\guard32.dll
    2009-09-12 15:37 . 2009-09-12 15:37 132168 ----a-w- c:\windows\system32\drivers\cmdguard.sys
    2009-09-12 15:37 . 2009-09-12 15:37 -------- d-----w- c:\program files\Comodo
    2009-09-12 00:16 . 2009-09-14 21:40 -------- d-----w- C:\FindyKill
    2009-09-11 22:14 . 2009-09-11 22:14 2855 ----a-w- c:\windows\system32\wintems.PIF
    2009-09-11 16:17 . 2009-09-12 16:40 -------- d-----w- C:\3CoFi
    2009-09-10 19:08 . 2009-09-10 19:08 -------- d-----w- c:\documents and settings\Parents\Application Data\Malwarebytes
    2009-09-10 19:08 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-09-10 19:08 . 2009-09-10 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-09-10 19:08 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-09-10 19:08 . 2009-09-11 16:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-09-09 20:22 . 2009-09-14 21:36 -------- d-----w- c:\program files\FindyKill
    2009-09-06 09:47 . 2009-09-06 09:47 -------- d-----w- c:\documents and settings\Parents\Application Data\Broad Intelligence
    2009-09-04 20:39 . 2009-09-04 20:45 -------- d-----w- c:\program files\Alcohol 120
    2009-08-31 18:37 . 2009-08-31 18:40 -------- d-----w- c:\documents and settings\Parents\Local Settings\Application Data\Mirillis
    2009-08-31 18:13 . 2009-08-31 18:13 -------- d-----w- c:\program files\Splash
    2009-08-28 16:04 . 2009-08-28 16:04 -------- d-----w- c:\documents and settings\Parents\Application Data\Panasonic
    2009-08-27 19:42 . 2009-08-28 15:43 -------- d-----w- c:\program files\RocketDock
    2009-08-20 20:50 . 2009-08-20 20:50 33824 ----a-w- c:\windows\system32\drivers\oreans32.sys
    2009-08-20 11:24 . 2009-09-09 18:07 -------- d-----w- c:\program files\Elite Cabal
    2009-08-17 19:07 . 2009-08-17 19:07 -------- d-----w- c:\program files\Common Files
    2009-08-17 16:04 . 2009-08-18 14:10 -------- d-----w- c:\program files\Cabal
    2009-08-16 16:34 . 2005-02-23 12:58 11776 ----a-w- c:\windows\system32\drivers\afc.sys
    2009-08-16 16:33 . 2007-03-07 14:05 126976 ----a-w- c:\windows\system32\MediaImpression Slideshow.scr
    2009-08-16 16:33 . 2009-08-16 16:34 -------- d-----w- c:\windows\system32\MediaImpression Slideshow
    2009-08-16 16:33 . 2009-08-16 16:33 -------- d-----w- c:\program files\ArcSoft
    2009-08-16 16:29 . 2008-09-25 19:07 45056 ----a-w- c:\windows\system32\PhDi2.sys
    2009-08-16 16:28 . 2009-08-16 16:31 -------- d-----w- c:\program files\Photofun

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-09-14 21:23 . 2001-08-28 13:00 83470 ----a-w- c:\windows\system32\perfc00C.dat
    2009-09-14 21:23 . 2001-08-28 13:00 506900 ----a-w- c:\windows\system32\perfh00C.dat
    2009-09-14 20:05 . 2006-08-16 20:22 -------- d-----w- c:\program files\eMule
    2009-09-13 18:17 . 2009-05-18 22:04 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-09-12 23:55 . 2009-07-31 21:01 1324 ----a-w- c:\windows\system32\d3d9caps.dat
    2009-09-12 18:18 . 2008-04-23 19:44 -------- d-----w- c:\documents and settings\Parents\Application Data\gtk-2.0
    2009-09-12 10:39 . 2009-04-11 18:28 -------- d-----w- c:\program files\LeechGet
    2009-09-11 22:17 . 2007-07-13 21:18 -------- d-----w- c:\documents and settings\Parents\Application Data\Azureus
    2009-09-10 22:30 . 2006-10-06 18:53 -------- d-----w- c:\documents and settings\Parents\Application Data\Mp3tag
    2009-09-07 01:27 . 2009-02-12 20:37 -------- d-----w- c:\program files\a-squared Free
    2009-09-06 22:09 . 2007-04-19 19:39 -------- d-----w- c:\program files\Cannon Smash
    2009-09-06 21:39 . 2009-06-12 22:16 -------- d-----w- c:\documents and settings\Parents\Application Data\ArcSoft
    2009-09-06 21:11 . 2009-03-18 16:09 -------- d-----w- c:\program files\Silkroad
    2009-09-06 21:10 . 2008-09-09 16:56 13471 ----a-w- c:\documents and settings\All Users\Application Data\xml4.tmp
    2009-09-06 21:10 . 2008-05-23 20:58 1801 ----a-w- c:\documents and settings\All Users\Application Data\xml289.tmp
    2009-09-06 21:10 . 2008-05-23 20:58 7972 ----a-w- c:\documents and settings\All Users\Application Data\xml286.tmp
    2009-09-06 09:44 . 2006-12-28 22:50 -------- d-----w- c:\program files\Ri-li
    2009-09-05 18:21 . 2008-04-06 20:36 -------- d-----w- c:\program files\SUPERAntiSpyware
    2009-09-04 20:29 . 2008-01-03 23:01 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
    2009-09-03 20:10 . 2006-12-14 20:50 -------- d-----w- c:\program files\VisualTaskTips
    2009-09-03 20:10 . 2006-12-01 22:51 -------- d-----w- c:\program files\TweakDUN
    2009-09-03 20:05 . 2006-10-04 21:25 -------- d-----w- c:\program files\nLite
    2009-08-19 22:06 . 2007-11-09 22:50 -------- d-----w- c:\program files\Microsoft ActiveSync
    2009-08-17 22:39 . 2007-01-09 21:30 -------- d-----w- c:\program files\SyncBack
    2009-08-17 20:59 . 2006-07-21 15:54 105864 ----a-w- c:\documents and settings\Parents\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-08-16 16:33 . 2006-07-21 16:24 -------- d--h--w- c:\program files\InstallShield Installation Information
    2009-08-16 15:00 . 2007-01-07 22:20 -------- d-----w- c:\documents and settings\Parents\Application Data\ZoomBrowser EX
    2009-08-16 14:59 . 2008-11-04 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\ZoomBrowser
    2009-08-16 14:56 . 2008-10-29 15:09 -------- d-----w- c:\program files\Sweet Home 3D
    2009-08-16 14:21 . 2007-03-03 09:51 -------- d-----w- c:\program files\La Marmite du Chef
    2009-08-15 20:51 . 2009-08-15 20:51 -------- d-----w- c:\program files\MSBuild
    2009-08-15 20:51 . 2009-08-15 20:51 -------- d-----w- c:\program files\Reference Assemblies
    2009-08-15 20:46 . 2007-12-31 12:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2009-08-15 19:20 . 2006-08-13 20:42 -------- d-----w- c:\program files\Java
    2009-08-05 09:00 . 2002-08-29 11:44 205312 ----a-w- c:\windows\system32\mswebdvd.dll
    2009-07-31 19:39 . 2009-06-27 11:03 -------- d-----w- c:\program files\Samsung
    2009-07-31 19:38 . 2009-07-31 19:38 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Suite
    2009-07-31 19:38 . 2009-07-31 19:38 -------- d-----w- c:\documents and settings\Parents\Application Data\PC Suite
    2009-07-31 19:02 . 2008-12-27 12:38 -------- d-----w- c:\program files\Microsoft Silverlight
    2009-07-25 20:12 . 2009-05-18 21:45 -------- d-----w- c:\program files\SUPER
    2009-07-25 03:23 . 2009-01-10 10:29 411368 ----a-w- c:\windows\system32\deploytk.dll
    2009-07-17 19:03 . 2002-08-29 11:44 58880 ----a-w- c:\windows\system32\atl.dll
    2009-07-13 21:43 . 2006-07-21 15:43 286208 ----a-w- c:\windows\system32\wmpdxm.dll
    2009-07-03 16:57 . 2002-08-29 11:45 915456 ----a-w- c:\windows\system32\wininet.dll
    2009-06-25 08:26 . 2002-08-29 11:44 56832 ----a-w- c:\windows\system32\secur32.dll
    2009-06-25 08:26 . 2002-08-29 11:44 147456 ----a-w- c:\windows\system32\schannel.dll
    2009-06-25 08:26 . 2002-08-29 11:44 736768 ----a-w- c:\windows\system32\lsasrv.dll
    2009-06-25 08:26 . 2002-08-29 11:44 136192 ----a-w- c:\windows\system32\msv1_0.dll
    2009-06-25 08:26 . 2001-08-28 13:00 54272 ----a-w- c:\windows\system32\wdigest.dll
    2009-06-25 08:26 . 2002-08-29 11:44 301568 ----a-w- c:\windows\system32\kerberos.dll
    2009-06-24 11:18 . 2001-08-28 13:00 92928 ----a-w- c:\windows\system32\drivers\ksecdd.sys
    2006-05-03 09:06 . 2008-08-24 10:08 163328 --sh--r- c:\windows\system32\flvDX.dll
    2007-02-21 10:47 . 2009-05-18 21:47 31232 --sh--r- c:\windows\system32\msfDX.dll
    2008-03-16 12:30 . 2009-05-18 21:47 216064 --sh--r- c:\windows\system32\nbDX.dll
    .

    ------- Sigcheck -------

    [-] 2006-10-18 20:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
    [-] 2006-10-18 20:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\dllcache\mspmsnsv.dll
    [-] 2004-08-19 14:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}$BACKUP$\System\MsPMSNSv.dll
    [-] 2004-08-19 14:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\ServicePackFiles\i386\mspmsnsv.dll
    [-] 2004-08-10 22:45 . A477391B7A8B0A0DAABADB17CF533A4B . 25088 . . [10.0.3790.3646] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-25 13680640]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    2009-09-05 18:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft ActiveSync.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft ActiveSync.lnk
    backup=c:\windows\pss\Microsoft ActiveSync.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Desktop Search.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Desktop Search.lnk
    backup=c:\windows\pss\Windows Desktop Search.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^Parents^Menu Démarrer^Programmes^Démarrage^Outil de notification Live Search.lnk]
    path=c:\documents and settings\Parents\Menu Démarrer\Programmes\Démarrage\Outil de notification Live Search.lnk
    backup=c:\windows\pss\Outil de notification Live Search.lnkStartup

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\GridService\\peer.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"=
    "c:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=
    "c:\\Program Files\\Cabal\\launcher\\update\\ESTdnheadless.exe"=
    "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "c:\\Program Files\\SiSoftware Sandra Lite XII\\RpcAgentSrv.exe"=
    "c:\\Program Files\\SiSoftware Sandra Lite XII\\WNt500x86\\RpcSandraSrv.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
    "AllowInboundEchoRequest"= 1 (0x1)

    R0 JAHCI;JAHCI;c:\windows\system32\drivers\JAHCI.sys [21/07/2006 16:54 33280]
    R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [21/07/2006 16:48 45056]
    R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [12/09/2009 17:37 132168]
    R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [12/09/2009 17:37 25160]
    R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [29/02/2008 16:03 9968]
    R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [29/02/2008 16:03 74480]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [13/09/2009 03:02 108289]
    R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [21/07/2006 18:41 28672]
    S1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [10/11/2006 15:08 24064]
    S3 ByakkoDriver;ByakkoDriver;\??\c:\temp\4680468.09-09-2009 --> c:\temp\4680468.09-09-2009 [?]
    S3 CAM1690;USB 2.0 Compliance JPEG Video Camera;c:\windows\system32\drivers\cam1690.sys [29/03/2007 17:33 134912]
    S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [23/07/2006 20:39 223232]
    S3 CrystalSysInfo;CrystalSysInfo;c:\program files\MediaCoder\SysInfo.sys [25/09/2007 16:59 15152]
    S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [27/06/2009 13:06 36608]
    S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
    S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\program files\SiSoftware Sandra Lite XII\RpcAgentSrv.exe [23/05/2008 22:53 98488]
    S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [16/02/2006 16:51 4096]
    .
    Contenu du dossier 'Tâches planifiées'

    2009-09-14 c:\windows\Tasks\Listing.job
    - d:\audio\Listing.bat [2004-11-12 16:41]

    2007-05-17 c:\windows\Tasks\Sauvegarde musicale.job
    - c:\windows\system32\ntbackup.exe [2001-08-28 02:34]

    2009-09-14 c:\windows\Tasks\SyncBack Administratif.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-01 c:\windows\Tasks\SyncBack Images.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-07-25 c:\windows\Tasks\SyncBack Installations.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-09 c:\windows\Tasks\SyncBack Jeux de rôle.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-10 c:\windows\Tasks\SyncBack Musiques.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-11 c:\windows\Tasks\SyncBack Pilotes.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-07-25 c:\windows\Tasks\SyncBack Sauvegarde de jeux.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-14 c:\windows\Tasks\User_Feed_Synchronization-{D488B395-9EEE-47D4-BF55-2B2D0F979180}.job
    - c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    mWindow Title =
    uInternet Connection Wizard,ShellNext = hxxp://www.aliceadsl.fr/
    uInternet Settings,ProxyOverride = local
    IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: Analyser avec LeechGet - file://c:\program files\LeechGet\\Parser.html
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    IE: Télécharger en utilisant l'assistant LeechGet - file://c:\program files\LeechGet\\Wizard.html
    IE: Télécharger en utilisant LeechGet - file://c:\program files\LeechGet\\AddUrl.html
    Trusted Zone: akamai.net\a248.e
    Trusted Zone: bitdefender.com
    Trusted Zone: ca-normandie.fr\www
    Trusted Zone: kaspersky.com\www
    Trusted Zone: netflame.cc\ssl-hints
    Trusted Zone: zebulon.fr\www
    TCP: {DE16CF88-9DB4-4190-91B6-57630E81D581} = 156.154.70.25,156.154.71.25
    TCP: {F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6} = 156.154.70.25,156.154.71.25
    FF - ProfilePath - c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT530097&SearchSource=3&q=
    FF - prefs.js: browser.startup.homepage - www.kartoo.com
    FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
    FF - component: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
    FF - component: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
    FF - component: c:\program files\Media Converter for Philips\Internet Video Downloader\Plugin_FireFox\components\nsURLRecordEx.dll
    FF - plugin: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
    FF - plugin: c:\documents and settings\Parents\Application Data\Mozilla\plugins\npcoolirisplugin.dll
    FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
    FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
    FF - plugin: c:\program files\Picasa\npPicasa3.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe
    AddRemove-CANONBJ_Deinstall_CNMCP58.DLL - c:\windows\system32\CNMCP58.exe -PRINTERNAMECanon i560 -HELPERDLLc:\bjprinter\CNMWINDOWS\Canon i560 Installer\Inst2\cnmis.dll

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-09-15 00:36
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ByakkoDriver]
    "ImagePath"="\??\c:\temp\4680468.09-09-2009"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
    "ImagePath"="c:\windows\system32\GameMon.des -service"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-602162358-1563985344-839522115-1003\Software\UpdateStar\1.0\History\H*a*r*r*y* *P*o*t*t*e*r* *e*t* *l*a* *C*o*u*p*e* *d*e* *F*e*u*"!\0.0.0]
    "ProductID"=dword:0007af68
    "InstallDate"=""

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "cd042efbbd7f7af1647644e76e06692b"=hex:2e,e8,e1,00,eb,16,2b,de,c9,74,d7,95,86,
    d2,b2,23,2e,e8,e1,00,eb,16,2b,de,b9,4a,4a,43,09,81,ee,df,e2,63,26,f1,3f,c8,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,2b,2f,11,c0,1c,
    5d,38,c8,46,47,15,b0,92,4b,c7,ef,04,7b,d7,09,08,ba,f6,a5,6a,9c,d6,61,af,45,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,c9,c0,93,e8,b5,
    17,e7,9d,7a,45,05,fd,91,e8,6f,31,28,8b,30,c5,ac,62,d9,29,ff,7c,85,e0,43,d4,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,dd,4c,cc,92,4a,
    4e,90,09,6b,65,49,6a,7e,99,74,f7,4e,26,3f,d3,54,fd,f8,90,86,8c,21,01,be,91,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,f5,5a,cb,1c,47,
    2b,32,f4,e9,02,6c,fa,fb,1d,47,57,39,b0,dc,9d,8d,0f,8a,c9,f5,1d,4d,73,a8,13,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,8b,bf,42,8c,34,
    be,33,47,50,93,e5,ab,ec,6a,4e,ab,1c,db,4e,4a,ff,30,4a,55,df,20,58,62,78,6b,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "4d370831d2c43cd13623e232fed27b7b"=hex:97,20,4e,9a,c7,f1,35,ee,29,f1,df,fe,fe,
    9d,b1,3c,97,20,4e,9a,c7,f1,35,ee,ac,0d,e2,27,5d,3a,e7,41,fb,a7,78,e6,12,2f,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,a0,d1,2f,f3,4e,
    fa,91,78,aa,52,c6,00,84,3c,26,64,b8,99,31,0d,22,0a,6b,81,01,3a,48,fc,e8,04,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,8a,85,a9,3b,cb,
    1b,0f,b9,b2,46,9a,e2,1b,fe,1b,94,b7,7b,82,ba,b0,a2,92,f6,f6,0f,4e,58,98,5b,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,4c,2b,74,db,c6,
    08,c5,3b,37,a4,aa,c3,a6,15,56,0a,19,84,31,ab,c8,30,36,fd,3d,ce,ea,26,2d,45,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,d0,ff,9f,0e,e8,
    73,0d,53,f8,31,0f,a9,5f,a0,ec,fb,b4,26,d0,7f,32,8a,1e,1e,2a,b7,cc,b5,b9,7f,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,d0,dd,5b,cb,a0,
    06,e8,13,05,73,21,dd,54,d8,4a,c5,e8,30,4a,46,12,02,af,3c,6c,43,2d,1e,aa,22,\
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(836)
    c:\program files\SUPERAntiSpyware\SASWINLO.DLL

    - - - - - - - > 'explorer.exe'(3892)
    c:\progra~1\MI3AA1~1\Wcesview.dll
    c:\progra~1\MI3AA1~1\pegconv.dll
    c:\windows\system32\CEUTIL.dll
    c:\windows\system32\RAPI.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    c:\windows\system32\eappprxy.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Comodo\COMODO Internet Security\cmdagent.exe
    c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\windows\system32\bgsvcgen.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    c:\program files\Canon\CAL\CALMAIN.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-09-14 0:42 - La machine a redémarré
    ComboFix-quarantined-files.txt 2009-09-14 22:42

    Avant-CF: 59 022 462 976 octets libres
    Après-CF: 58 899 935 232 octets libres

    374 --- E O F --- 2009-08-26 22:00
    0
  13. nddefossez Messages postés 27 Statut Membre
     
    Fausse bonne nouvelle, il est revenu.
    Cette fois, j'ai pu envoyé le fichier au Brésil en espérant qu'ils pourront trouver la parade.

    nddefossez
    0
  14. nddefossez Messages postés 27 Statut Membre
     
    Je craque:
    - Kapersky me dit que ma console Java n'est pas compatible
    - Bitdefender ne tourne pas sur Firefox et mon Internet Explorer est HS
    - Je lance donc Pandasoft et je vais me coucher :(
    0
  15. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    Driver ::
    ByakkoDriver
    File::
    c:\temp\4680468.09-09-2009
    c:\windows\system32\wintems.PIF
    Registry::
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ByakkoDriver]

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    _______________________

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    Kaspersky en ligne
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    0
  16. nddefossez Messages postés 27 Statut Membre
     
    Salut Jlpjlp, je suis de retour.

    Voici le compte rendu après la manip (en attendant le traitement par l'antivirus en ligne)

    ComboFix 09-09-14.02 - Parents 15/09/2009 20:11.5.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1590 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Parents\Bureau\KCbag.exe
    Commutateurs utilisés :: c:\documents and settings\Parents\Bureau\CFscript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

    FILE ::
    "c:\temp\4680468.09-09-2009"
    "c:\windows\system32\wintems.PIF"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\InfoSat.txt
    c:\windows\system32\wintems.PIF

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-08-15 au 2009-09-15 ))))))))))))))))))))))))))))))))))))
    .

    2009-09-15 18:19 . 2009-09-15 18:19 53248 ----a-w- c:\temp\catchme.dll
    2009-09-15 18:11 . 2009-09-15 18:11 -------- d-----w- c:\temp\WPDNSE
    2009-09-15 00:08 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
    2009-09-15 00:07 . 2009-09-15 00:07 -------- d-----w- c:\program files\Panda Security
    2009-09-14 23:54 . 2009-09-15 18:18 -------- d-----w- c:\temp\hsperfdata_Parents
    2009-09-13 01:02 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2009-09-13 01:02 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2009-09-13 01:02 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\program files\Avira
    2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    2009-09-12 22:40 . 2009-09-13 00:58 -------- d-----w- C:\ToolBar SD
    2009-09-12 15:37 . 2009-09-12 15:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo
    2009-09-12 15:37 . 2009-09-12 15:37 87104 ----a-w- c:\windows\system32\drivers\inspect.sys
    2009-09-12 15:37 . 2009-09-12 15:37 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
    2009-09-12 15:37 . 2009-09-12 15:37 179792 ----a-w- c:\windows\system32\guard32.dll
    2009-09-12 15:37 . 2009-09-12 15:37 132168 ----a-w- c:\windows\system32\drivers\cmdguard.sys
    2009-09-12 15:37 . 2009-09-12 15:37 -------- d-----w- c:\program files\Comodo
    2009-09-12 00:16 . 2009-09-14 23:59 -------- d-----w- C:\FindyKill
    2009-09-11 16:17 . 2009-09-12 16:40 -------- d-----w- C:\3CoFi
    2009-09-10 19:08 . 2009-09-10 19:08 -------- d-----w- c:\documents and settings\Parents\Application Data\Malwarebytes
    2009-09-10 19:08 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-09-10 19:08 . 2009-09-10 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-09-10 19:08 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-09-10 19:08 . 2009-09-11 16:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-09-09 20:22 . 2009-09-14 21:36 -------- d-----w- c:\program files\FindyKill
    2009-09-06 09:47 . 2009-09-06 09:47 -------- d-----w- c:\documents and settings\Parents\Application Data\Broad Intelligence
    2009-09-04 20:39 . 2009-09-04 20:45 -------- d-----w- c:\program files\Alcohol 120
    2009-08-31 18:37 . 2009-08-31 18:40 -------- d-----w- c:\documents and settings\Parents\Local Settings\Application Data\Mirillis
    2009-08-31 18:13 . 2009-08-31 18:13 -------- d-----w- c:\program files\Splash
    2009-08-28 16:04 . 2009-08-28 16:04 -------- d-----w- c:\documents and settings\Parents\Application Data\Panasonic
    2009-08-27 19:42 . 2009-08-28 15:43 -------- d-----w- c:\program files\RocketDock
    2009-08-20 20:50 . 2009-08-20 20:50 33824 ----a-w- c:\windows\system32\drivers\oreans32.sys
    2009-08-20 11:24 . 2009-09-09 18:07 -------- d-----w- c:\program files\Elite Cabal
    2009-08-17 19:07 . 2009-08-17 19:07 -------- d-----w- c:\program files\Common Files
    2009-08-17 16:04 . 2009-08-18 14:10 -------- d-----w- c:\program files\Cabal

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-09-14 23:10 . 2001-08-28 13:00 83470 ----a-w- c:\windows\system32\perfc00C.dat
    2009-09-14 23:10 . 2001-08-28 13:00 506900 ----a-w- c:\windows\system32\perfh00C.dat
    2009-09-14 20:05 . 2006-08-16 20:22 -------- d-----w- c:\program files\eMule
    2009-09-13 18:17 . 2009-05-18 22:04 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-09-12 23:55 . 2009-07-31 21:01 1324 ----a-w- c:\windows\system32\d3d9caps.dat
    2009-09-12 18:18 . 2008-04-23 19:44 -------- d-----w- c:\documents and settings\Parents\Application Data\gtk-2.0
    2009-09-12 10:39 . 2009-04-11 18:28 -------- d-----w- c:\program files\LeechGet
    2009-09-11 22:17 . 2007-07-13 21:18 -------- d-----w- c:\documents and settings\Parents\Application Data\Azureus
    2009-09-10 22:30 . 2006-10-06 18:53 -------- d-----w- c:\documents and settings\Parents\Application Data\Mp3tag
    2009-09-07 01:27 . 2009-02-12 20:37 -------- d-----w- c:\program files\a-squared Free
    2009-09-06 22:09 . 2007-04-19 19:39 -------- d-----w- c:\program files\Cannon Smash
    2009-09-06 21:39 . 2009-06-12 22:16 -------- d-----w- c:\documents and settings\Parents\Application Data\ArcSoft
    2009-09-06 21:11 . 2009-03-18 16:09 -------- d-----w- c:\program files\Silkroad
    2009-09-06 21:10 . 2008-09-09 16:56 13471 ----a-w- c:\documents and settings\All Users\Application Data\xml4.tmp
    2009-09-06 21:10 . 2008-05-23 20:58 1801 ----a-w- c:\documents and settings\All Users\Application Data\xml289.tmp
    2009-09-06 21:10 . 2008-05-23 20:58 7972 ----a-w- c:\documents and settings\All Users\Application Data\xml286.tmp
    2009-09-06 09:44 . 2006-12-28 22:50 -------- d-----w- c:\program files\Ri-li
    2009-09-05 18:21 . 2008-04-06 20:36 -------- d-----w- c:\program files\SUPERAntiSpyware
    2009-09-04 20:29 . 2008-01-03 23:01 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
    2009-09-03 20:10 . 2006-12-14 20:50 -------- d-----w- c:\program files\VisualTaskTips
    2009-09-03 20:10 . 2006-12-01 22:51 -------- d-----w- c:\program files\TweakDUN
    2009-09-03 20:05 . 2006-10-04 21:25 -------- d-----w- c:\program files\nLite
    2009-08-19 22:06 . 2007-11-09 22:50 -------- d-----w- c:\program files\Microsoft ActiveSync
    2009-08-17 22:39 . 2007-01-09 21:30 -------- d-----w- c:\program files\SyncBack
    2009-08-17 20:59 . 2006-07-21 15:54 105864 ----a-w- c:\documents and settings\Parents\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-08-16 16:33 . 2009-08-16 16:33 -------- d-----w- c:\program files\ArcSoft
    2009-08-16 16:33 . 2006-07-21 16:24 -------- d--h--w- c:\program files\InstallShield Installation Information
    2009-08-16 16:31 . 2009-08-16 16:28 -------- d-----w- c:\program files\Photofun
    2009-08-16 15:00 . 2007-01-07 22:20 -------- d-----w- c:\documents and settings\Parents\Application Data\ZoomBrowser EX
    2009-08-16 14:59 . 2008-11-04 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\ZoomBrowser
    2009-08-16 14:56 . 2008-10-29 15:09 -------- d-----w- c:\program files\Sweet Home 3D
    2009-08-16 14:21 . 2007-03-03 09:51 -------- d-----w- c:\program files\La Marmite du Chef
    2009-08-15 20:51 . 2009-08-15 20:51 -------- d-----w- c:\program files\MSBuild
    2009-08-15 20:51 . 2009-08-15 20:51 -------- d-----w- c:\program files\Reference Assemblies
    2009-08-15 20:46 . 2007-12-31 12:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2009-08-15 19:20 . 2006-08-13 20:42 -------- d-----w- c:\program files\Java
    2009-08-05 09:00 . 2002-08-29 11:44 205312 ----a-w- c:\windows\system32\mswebdvd.dll
    2009-07-31 19:39 . 2009-06-27 11:03 -------- d-----w- c:\program files\Samsung
    2009-07-31 19:38 . 2009-07-31 19:38 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Suite
    2009-07-31 19:38 . 2009-07-31 19:38 -------- d-----w- c:\documents and settings\Parents\Application Data\PC Suite
    2009-07-31 19:02 . 2008-12-27 12:38 -------- d-----w- c:\program files\Microsoft Silverlight
    2009-07-25 20:12 . 2009-05-18 21:45 -------- d-----w- c:\program files\SUPER
    2009-07-25 03:23 . 2009-01-10 10:29 411368 ----a-w- c:\windows\system32\deploytk.dll
    2009-07-17 19:03 . 2002-08-29 11:44 58880 ----a-w- c:\windows\system32\atl.dll
    2009-07-13 21:43 . 2006-07-21 15:43 286208 ----a-w- c:\windows\system32\wmpdxm.dll
    2009-07-03 16:57 . 2002-08-29 11:45 915456 ------w- c:\windows\system32\wininet.dll
    2009-06-25 08:26 . 2002-08-29 11:44 56832 ----a-w- c:\windows\system32\secur32.dll
    2009-06-25 08:26 . 2002-08-29 11:44 147456 ----a-w- c:\windows\system32\schannel.dll
    2009-06-25 08:26 . 2002-08-29 11:44 736768 ----a-w- c:\windows\system32\lsasrv.dll
    2009-06-25 08:26 . 2002-08-29 11:44 136192 ----a-w- c:\windows\system32\msv1_0.dll
    2009-06-25 08:26 . 2001-08-28 13:00 54272 ----a-w- c:\windows\system32\wdigest.dll
    2009-06-25 08:26 . 2002-08-29 11:44 301568 ----a-w- c:\windows\system32\kerberos.dll
    2009-06-24 11:18 . 2001-08-28 13:00 92928 ----a-w- c:\windows\system32\drivers\ksecdd.sys
    2006-05-03 09:06 . 2008-08-24 10:08 163328 --sh--r- c:\windows\system32\flvDX.dll
    2007-02-21 10:47 . 2009-05-18 21:47 31232 --sh--r- c:\windows\system32\msfDX.dll
    2008-03-16 12:30 . 2009-05-18 21:47 216064 --sh--r- c:\windows\system32\nbDX.dll
    .

    ------- Sigcheck -------

    [-] 2006-10-18 20:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
    [-] 2006-10-18 20:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\dllcache\mspmsnsv.dll
    [-] 2004-08-19 14:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}$BACKUP$\System\MsPMSNSv.dll
    [-] 2004-08-19 14:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\ServicePackFiles\i386\mspmsnsv.dll
    [-] 2004-08-10 22:45 . A477391B7A8B0A0DAABADB17CF533A4B . 25088 . . [10.0.3790.3646] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll
    .
    ((((((((((((((((((((((((((((( SnapShot@2009-09-14_22.36.42 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2001-08-28 13:00 . 2009-09-14 21:23 69678 c:\windows\system32\perfc009.dat
    + 2001-08-28 13:00 . 2009-09-14 23:10 69678 c:\windows\system32\perfc009.dat
    + 2001-08-28 13:00 . 2009-09-14 23:10 438214 c:\windows\system32\perfh009.dat
    - 2001-08-28 13:00 . 2009-09-14 21:23 438214 c:\windows\system32\perfh009.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-25 13680640]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    2009-09-05 18:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft ActiveSync.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft ActiveSync.lnk
    backup=c:\windows\pss\Microsoft ActiveSync.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Desktop Search.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Desktop Search.lnk
    backup=c:\windows\pss\Windows Desktop Search.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^Parents^Menu Démarrer^Programmes^Démarrage^Outil de notification Live Search.lnk]
    path=c:\documents and settings\Parents\Menu Démarrer\Programmes\Démarrage\Outil de notification Live Search.lnk
    backup=c:\windows\pss\Outil de notification Live Search.lnkStartup

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\GridService\\peer.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"=
    "c:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=
    "c:\\Program Files\\Cabal\\launcher\\update\\ESTdnheadless.exe"=
    "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "c:\\Program Files\\SiSoftware Sandra Lite XII\\RpcAgentSrv.exe"=
    "c:\\Program Files\\SiSoftware Sandra Lite XII\\WNt500x86\\RpcSandraSrv.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
    "AllowInboundEchoRequest"= 1 (0x1)

    R0 JAHCI;JAHCI;c:\windows\system32\drivers\JAHCI.sys [21/07/2006 16:54 33280]
    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [15/09/2009 02:08 28544]
    R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [21/07/2006 16:48 45056]
    R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [12/09/2009 17:37 132168]
    R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [12/09/2009 17:37 25160]
    R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [29/02/2008 16:03 9968]
    R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [29/02/2008 16:03 74480]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [13/09/2009 03:02 108289]
    R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [21/07/2006 18:41 28672]
    S1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [10/11/2006 15:08 24064]
    S3 CAM1690;USB 2.0 Compliance JPEG Video Camera;c:\windows\system32\drivers\cam1690.sys [29/03/2007 17:33 134912]
    S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [23/07/2006 20:39 223232]
    S3 CrystalSysInfo;CrystalSysInfo;c:\program files\MediaCoder\SysInfo.sys [25/09/2007 16:59 15152]
    S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [27/06/2009 13:06 36608]
    S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
    S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\program files\SiSoftware Sandra Lite XII\RpcAgentSrv.exe [23/05/2008 22:53 98488]
    S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [16/02/2006 16:51 4096]
    .
    Contenu du dossier 'Tâches planifiées'

    2009-09-15 c:\windows\Tasks\Listing.job
    - d:\audio\Listing.bat [2004-11-12 16:41]

    2007-05-17 c:\windows\Tasks\Sauvegarde musicale.job
    - c:\windows\system32\ntbackup.exe [2001-08-28 02:34]

    2009-09-14 c:\windows\Tasks\SyncBack Administratif.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-01 c:\windows\Tasks\SyncBack Images.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-07-25 c:\windows\Tasks\SyncBack Installations.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-09 c:\windows\Tasks\SyncBack Jeux de rôle.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-10 c:\windows\Tasks\SyncBack Musiques.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-11 c:\windows\Tasks\SyncBack Pilotes.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-07-25 c:\windows\Tasks\SyncBack Sauvegarde de jeux.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-15 c:\windows\Tasks\User_Feed_Synchronization-{D488B395-9EEE-47D4-BF55-2B2D0F979180}.job
    - c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    mWindow Title =
    uInternet Connection Wizard,ShellNext = hxxp://www.aliceadsl.fr/
    uInternet Settings,ProxyOverride = local
    IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: Analyser avec LeechGet - file://c:\program files\LeechGet\\Parser.html
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    IE: Télécharger en utilisant l'assistant LeechGet - file://c:\program files\LeechGet\\Wizard.html
    IE: Télécharger en utilisant LeechGet - file://c:\program files\LeechGet\\AddUrl.html
    Trusted Zone: akamai.net\a248.e
    Trusted Zone: bitdefender.com
    Trusted Zone: ca-normandie.fr\www
    Trusted Zone: kaspersky.com\www
    Trusted Zone: netflame.cc\ssl-hints
    Trusted Zone: zebulon.fr\www
    TCP: {DE16CF88-9DB4-4190-91B6-57630E81D581} = 156.154.70.25,156.154.71.25
    TCP: {F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6} = 156.154.70.25,156.154.71.25
    FF - ProfilePath - c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT530097&SearchSource=3&q=
    FF - prefs.js: browser.startup.homepage - www.kartoo.com
    FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
    FF - component: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
    FF - component: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
    FF - component: c:\program files\Media Converter for Philips\Internet Video Downloader\Plugin_FireFox\components\nsURLRecordEx.dll
    FF - plugin: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
    FF - plugin: c:\documents and settings\Parents\Application Data\Mozilla\plugins\npcoolirisplugin.dll
    FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
    FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
    FF - plugin: c:\program files\Picasa\npPicasa3.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-09-15 20:19
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
    "ImagePath"="c:\windows\system32\GameMon.des -service"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-602162358-1563985344-839522115-1003\Software\UpdateStar\1.0\History\H*a*r*r*y* *P*o*t*t*e*r* *e*t* *l*a* *C*o*u*p*e* *d*e* *F*e*u*"!\0.0.0]
    "ProductID"=dword:0007af68
    "InstallDate"=""

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "cd042efbbd7f7af1647644e76e06692b"=hex:2e,e8,e1,00,eb,16,2b,de,c9,74,d7,95,86,
    d2,b2,23,2e,e8,e1,00,eb,16,2b,de,b9,4a,4a,43,09,81,ee,df,e2,63,26,f1,3f,c8,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,2b,2f,11,c0,1c,
    5d,38,c8,46,47,15,b0,92,4b,c7,ef,04,7b,d7,09,08,ba,f6,a5,6a,9c,d6,61,af,45,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,c9,c0,93,e8,b5,
    17,e7,9d,7a,45,05,fd,91,e8,6f,31,28,8b,30,c5,ac,62,d9,29,ff,7c,85,e0,43,d4,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,dd,4c,cc,92,4a,
    4e,90,09,6b,65,49,6a,7e,99,74,f7,4e,26,3f,d3,54,fd,f8,90,86,8c,21,01,be,91,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,f5,5a,cb,1c,47,
    2b,32,f4,e9,02,6c,fa,fb,1d,47,57,39,b0,dc,9d,8d,0f,8a,c9,f5,1d,4d,73,a8,13,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,8b,bf,42,8c,34,
    be,33,47,50,93,e5,ab,ec,6a,4e,ab,1c,db,4e,4a,ff,30,4a,55,df,20,58,62,78,6b,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "4d370831d2c43cd13623e232fed27b7b"=hex:97,20,4e,9a,c7,f1,35,ee,29,f1,df,fe,fe,
    9d,b1,3c,97,20,4e,9a,c7,f1,35,ee,ac,0d,e2,27,5d,3a,e7,41,fb,a7,78,e6,12,2f,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,a0,d1,2f,f3,4e,
    fa,91,78,aa,52,c6,00,84,3c,26,64,b8,99,31,0d,22,0a,6b,81,01,3a,48,fc,e8,04,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,8a,85,a9,3b,cb,
    1b,0f,b9,b2,46,9a,e2,1b,fe,1b,94,b7,7b,82,ba,b0,a2,92,f6,f6,0f,4e,58,98,5b,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,4c,2b,74,db,c6,
    08,c5,3b,37,a4,aa,c3,a6,15,56,0a,19,84,31,ab,c8,30,36,fd,3d,ce,ea,26,2d,45,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,d0,ff,9f,0e,e8,
    73,0d,53,f8,31,0f,a9,5f,a0,ec,fb,b4,26,d0,7f,32,8a,1e,1e,2a,b7,cc,b5,b9,7f,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,d0,dd,5b,cb,a0,
    06,e8,13,05,73,21,dd,54,d8,4a,c5,e8,30,4a,46,12,02,af,3c,6c,43,2d,1e,aa,22,\
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(832)
    c:\program files\SUPERAntiSpyware\SASWINLO.DLL
    .
    Heure de fin: 2009-09-15 20:21
    ComboFix-quarantined-files.txt 2009-09-15 18:21
    ComboFix2.txt 2009-09-14 23:44
    ComboFix3.txt 2009-09-14 22:43

    Avant-CF: 58 741 587 968 octets libres
    Après-CF: 58 708 811 776 octets libres

    328 --- E O F --- 2009-08-26 22:00
    0
  17. nddefossez Messages postés 27 Statut Membre
     
    Le lancement de l'antivirus en ligne est en cours...
    0
  18. nddefossez Messages postés 27 Statut Membre
     
    Les nouvelles:

    Tout d'abord, j'ai reçu un mail des concepteurs d'ELIBAGLA indiquant qu'ils ont intégré mon nouveau virus dans leur outil et ont généré une nouvelle version: 12.90.

    Gracias por las muestras de ficheros.
    Acabamos de subir al área de utilidades de nuestra web, www.satinfo.es, nueva versión mejorada de la herramienta ELIBAGLA.EXE.
    Saludos cordiales,
    Dpto técnico

    Je me suis empressé de refaire la manipulation complète (confère: jlpjlp, le mardi 15 septembre 2009 à 07:55:43) avec cette nouvelle version.

    La nouvelle version ELIBAGLA a en effet détecté et supprimé un certain nombre de fichiers infectés.

    J'ai ensuite lancé Bitdefender en ligne qui ne se contente pas de détecter mais aussi de supprimer les virus détectés.
    Par contre, en lançant plusieurs fois Bitdefender, j'ai exactement les mêmes messages, comme si Bitdefender était incapable de se débarrasser des virus malgré le message (effacé puis "mis à jour?") à chaque virus détecté.

    Voici son rapport Bitdefender (texte traduit du HTML) suivi de ComboFix.

    BitDefender Online Scanner

    Rapport d'analyse généré à: Wed, Sep 16, 2009 - 19:19:31
    Voie d'analyse: C:\;D:\;E:\;F:\;

    Statistiques
    Temps
    00:15:19
    Fichiers
    37919
    Directoires
    16160

    Secteurs de boot
    0

    Archives
    710

    Paquets programmes
    1892

    Résultats
    Virus identifiés
    8
    Fichiers infectés
    8
    Fichiers suspects
    0
    Avertissements
    0
    Désinfectés
    0
    Fichiers effacés
    8

    Info sur les moteurs

    Définition virus
    4193740

    Version des moteurs
    AVCORE v2.1 Windows/i386 11.0.0.26 (Aug 27 2009)

    Analyse des plugins
    17

    Archive des plugins
    44

    Unpack des plugins
    8

    E-mail plugins
    6

    Système plugins
    4

    Paramètres d'analyse

    Première action
    Désinfecté

    Seconde Action
    Supprimé

    Heuristique
    Oui

    Acceptez les avertissements
    Oui

    Extensions analysées
    exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

    Excludez les extensions

    Analyse d'emails

    Oui
    Analyse des Archives

    Oui
    Analyser paquets programmes

    Oui
    Analyse des fichiers

    Oui
    Analyse de boot

    Oui
    Fichier analysé

    Statut
    C:\Documents and Settings\Parents\Mes documents\Réception\Alcohol\Alcohol 120% 198\alcohol.120%(O.S.GR) Auto Loader.exe=>(RAR Sfx o)=>alcohol.120%(O.S.GR).exe

    Détecté avec: Application.Generic.100891
    C:\Documents and Settings\Parents\Mes documents\Réception\Alcohol\Alcohol 120% 198\alcohol.120%(O.S.GR) Auto Loader.exe=>(RAR Sfx o)=>alcohol.120%(O.S.GR).exe

    Echec de la désinfection
    C:\Documents and Settings\Parents\Mes documents\Réception\Alcohol\Alcohol 120% 198\alcohol.120%(O.S.GR) Auto Loader.exe=>(RAR Sfx o)=>alcohol.120%(O.S.GR).exe

    Supprimé
    C:\Documents and Settings\Parents\Mes documents\Réception\Alcohol\Alcohol 120% 198\alcohol.120%(O.S.GR) Auto Loader.exe=>(RAR Sfx o)

    Echec de la mise à jour
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>wbhshare.dll

    Détecté avec: Adware.Webhancer.I
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>wbhshare.dll

    Supprimé
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

    Mis à jour
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>Webhdll.dll

    Détecté avec: Adware.Webhancer.B
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>Webhdll.dll

    Supprimé
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

    Mis à jour
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>WhAgent.exe

    Détecté avec: Adware.Webhancer.C
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>WhAgent.exe

    Supprimé
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

    Mis à jour
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whAgent.inf

    Détecté avec: Adware.Webhancer.AZ
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whAgent.inf

    Supprimé
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

    Mis à jour
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whiehlpr.dll

    Détecté avec: Adware.Webhancer.AP
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whiehlpr.dll

    Supprimé
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

    Mis à jour
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whieshm.dll

    Détecté avec: Adware.Webhancer.L
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whieshm.dll

    Supprimé
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

    Mis à jour
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whInstaller.exe

    Détecté avec: Adware.Webhancer.AQ
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whInstaller.exe

    Supprimé
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

    Mis à jour
    C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349

    Echec de la mise à jour

    ComboFix 09-09-14.02 - Parents 15/09/2009 23:35.6.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1544 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Parents\Bureau\KCbag.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\InfoSat.txt

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-08-15 au 2009-09-15 ))))))))))))))))))))))))))))))))))))
    .

    2009-09-15 21:40 . 2009-09-15 21:40 53248 ----a-w- c:\temp\catchme.dll
    2009-09-15 21:35 . 2009-09-15 21:35 -------- d-----w- c:\temp\WPDNSE
    2009-09-15 18:09 . 2009-09-15 18:21 -------- d-----w- C:\KCbag
    2009-09-15 00:08 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
    2009-09-15 00:07 . 2009-09-15 00:07 -------- d-----w- c:\program files\Panda Security
    2009-09-13 01:02 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2009-09-13 01:02 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2009-09-13 01:02 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\program files\Avira
    2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    2009-09-12 22:40 . 2009-09-13 00:58 -------- d-----w- C:\ToolBar SD
    2009-09-12 15:37 . 2009-09-12 15:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo
    2009-09-12 15:37 . 2009-09-12 15:37 87104 ----a-w- c:\windows\system32\drivers\inspect.sys
    2009-09-12 15:37 . 2009-09-12 15:37 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
    2009-09-12 15:37 . 2009-09-12 15:37 179792 ----a-w- c:\windows\system32\guard32.dll
    2009-09-12 15:37 . 2009-09-12 15:37 132168 ----a-w- c:\windows\system32\drivers\cmdguard.sys
    2009-09-12 15:37 . 2009-09-12 15:37 -------- d-----w- c:\program files\Comodo
    2009-09-12 00:16 . 2009-09-14 23:59 -------- d-----w- C:\FindyKill
    2009-09-11 16:17 . 2009-09-12 16:40 -------- d-----w- C:\3CoFi
    2009-09-10 19:08 . 2009-09-10 19:08 -------- d-----w- c:\documents and settings\Parents\Application Data\Malwarebytes
    2009-09-10 19:08 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-09-10 19:08 . 2009-09-10 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-09-10 19:08 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-09-10 19:08 . 2009-09-11 16:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-09-09 20:22 . 2009-09-14 21:36 -------- d-----w- c:\program files\FindyKill
    2009-09-06 09:47 . 2009-09-06 09:47 -------- d-----w- c:\documents and settings\Parents\Application Data\Broad Intelligence
    2009-09-04 20:39 . 2009-09-04 20:45 -------- d-----w- c:\program files\Alcohol 120
    2009-08-31 18:37 . 2009-08-31 18:40 -------- d-----w- c:\documents and settings\Parents\Local Settings\Application Data\Mirillis
    2009-08-31 18:13 . 2009-08-31 18:13 -------- d-----w- c:\program files\Splash
    2009-08-28 16:04 . 2009-08-28 16:04 -------- d-----w- c:\documents and settings\Parents\Application Data\Panasonic
    2009-08-27 19:42 . 2009-08-28 15:43 -------- d-----w- c:\program files\RocketDock
    2009-08-20 20:50 . 2009-08-20 20:50 33824 ----a-w- c:\windows\system32\drivers\oreans32.sys
    2009-08-20 11:24 . 2009-09-09 18:07 -------- d-----w- c:\program files\Elite Cabal
    2009-08-17 19:07 . 2009-08-17 19:07 -------- d-----w- c:\program files\Common Files
    2009-08-17 16:04 . 2009-08-18 14:10 -------- d-----w- c:\program files\Cabal

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-09-15 21:21 . 2009-06-27 11:03 -------- d-----w- c:\program files\Samsung
    2009-09-15 21:21 . 2007-11-09 22:50 -------- d-----w- c:\program files\Microsoft ActiveSync
    2009-09-14 23:10 . 2001-08-28 13:00 83470 ----a-w- c:\windows\system32\perfc00C.dat
    2009-09-14 23:10 . 2001-08-28 13:00 506900 ----a-w- c:\windows\system32\perfh00C.dat
    2009-09-14 20:05 . 2006-08-16 20:22 -------- d-----w- c:\program files\eMule
    2009-09-13 18:17 . 2009-05-18 22:04 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-09-12 23:55 . 2009-07-31 21:01 1324 ----a-w- c:\windows\system32\d3d9caps.dat
    2009-09-12 18:18 . 2008-04-23 19:44 -------- d-----w- c:\documents and settings\Parents\Application Data\gtk-2.0
    2009-09-12 10:39 . 2009-04-11 18:28 -------- d-----w- c:\program files\LeechGet
    2009-09-11 22:17 . 2007-07-13 21:18 -------- d-----w- c:\documents and settings\Parents\Application Data\Azureus
    2009-09-10 22:30 . 2006-10-06 18:53 -------- d-----w- c:\documents and settings\Parents\Application Data\Mp3tag
    2009-09-07 01:27 . 2009-02-12 20:37 -------- d-----w- c:\program files\a-squared Free
    2009-09-06 22:09 . 2007-04-19 19:39 -------- d-----w- c:\program files\Cannon Smash
    2009-09-06 21:39 . 2009-06-12 22:16 -------- d-----w- c:\documents and settings\Parents\Application Data\ArcSoft
    2009-09-06 21:11 . 2009-03-18 16:09 -------- d-----w- c:\program files\Silkroad
    2009-09-06 21:10 . 2008-09-09 16:56 13471 ----a-w- c:\documents and settings\All Users\Application Data\xml4.tmp
    2009-09-06 21:10 . 2008-05-23 20:58 1801 ----a-w- c:\documents and settings\All Users\Application Data\xml289.tmp
    2009-09-06 21:10 . 2008-05-23 20:58 7972 ----a-w- c:\documents and settings\All Users\Application Data\xml286.tmp
    2009-09-06 09:44 . 2006-12-28 22:50 -------- d-----w- c:\program files\Ri-li
    2009-09-05 18:21 . 2008-04-06 20:36 -------- d-----w- c:\program files\SUPERAntiSpyware
    2009-09-04 20:29 . 2008-01-03 23:01 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
    2009-09-03 20:10 . 2006-12-14 20:50 -------- d-----w- c:\program files\VisualTaskTips
    2009-09-03 20:10 . 2006-12-01 22:51 -------- d-----w- c:\program files\TweakDUN
    2009-09-03 20:05 . 2006-10-04 21:25 -------- d-----w- c:\program files\nLite
    2009-08-17 22:39 . 2007-01-09 21:30 -------- d-----w- c:\program files\SyncBack
    2009-08-17 20:59 . 2006-07-21 15:54 105864 ----a-w- c:\documents and settings\Parents\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-08-16 16:33 . 2009-08-16 16:33 -------- d-----w- c:\program files\ArcSoft
    2009-08-16 16:33 . 2006-07-21 16:24 -------- d--h--w- c:\program files\InstallShield Installation Information
    2009-08-16 16:31 . 2009-08-16 16:28 -------- d-----w- c:\program files\Photofun
    2009-08-16 15:00 . 2007-01-07 22:20 -------- d-----w- c:\documents and settings\Parents\Application Data\ZoomBrowser EX
    2009-08-16 14:59 . 2008-11-04 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\ZoomBrowser
    2009-08-16 14:56 . 2008-10-29 15:09 -------- d-----w- c:\program files\Sweet Home 3D
    2009-08-16 14:21 . 2007-03-03 09:51 -------- d-----w- c:\program files\La Marmite du Chef
    2009-08-15 20:51 . 2009-08-15 20:51 -------- d-----w- c:\program files\MSBuild
    2009-08-15 20:51 . 2009-08-15 20:51 -------- d-----w- c:\program files\Reference Assemblies
    2009-08-15 20:46 . 2007-12-31 12:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2009-08-15 19:20 . 2006-08-13 20:42 -------- d-----w- c:\program files\Java
    2009-08-05 09:00 . 2002-08-29 11:44 205312 ----a-w- c:\windows\system32\mswebdvd.dll
    2009-07-31 19:38 . 2009-07-31 19:38 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Suite
    2009-07-31 19:38 . 2009-07-31 19:38 -------- d-----w- c:\documents and settings\Parents\Application Data\PC Suite
    2009-07-31 19:02 . 2008-12-27 12:38 -------- d-----w- c:\program files\Microsoft Silverlight
    2009-07-25 20:12 . 2009-05-18 21:45 -------- d-----w- c:\program files\SUPER
    2009-07-25 03:23 . 2009-01-10 10:29 411368 ----a-w- c:\windows\system32\deploytk.dll
    2009-07-17 19:03 . 2002-08-29 11:44 58880 ----a-w- c:\windows\system32\atl.dll
    2009-07-13 21:43 . 2006-07-21 15:43 286208 ----a-w- c:\windows\system32\wmpdxm.dll
    2009-07-03 16:57 . 2002-08-29 11:45 915456 ------w- c:\windows\system32\wininet.dll
    2009-06-25 08:26 . 2002-08-29 11:44 56832 ----a-w- c:\windows\system32\secur32.dll
    2009-06-25 08:26 . 2002-08-29 11:44 147456 ----a-w- c:\windows\system32\schannel.dll
    2009-06-25 08:26 . 2002-08-29 11:44 736768 ----a-w- c:\windows\system32\lsasrv.dll
    2009-06-25 08:26 . 2002-08-29 11:44 136192 ----a-w- c:\windows\system32\msv1_0.dll
    2009-06-25 08:26 . 2001-08-28 13:00 54272 ----a-w- c:\windows\system32\wdigest.dll
    2009-06-25 08:26 . 2002-08-29 11:44 301568 ----a-w- c:\windows\system32\kerberos.dll
    2009-06-24 11:18 . 2001-08-28 13:00 92928 ----a-w- c:\windows\system32\drivers\ksecdd.sys
    2006-05-03 09:06 . 2008-08-24 10:08 163328 --sh--r- c:\windows\system32\flvDX.dll
    2007-02-21 10:47 . 2009-05-18 21:47 31232 --sh--r- c:\windows\system32\msfDX.dll
    2008-03-16 12:30 . 2009-05-18 21:47 216064 --sh--r- c:\windows\system32\nbDX.dll
    .

    ------- Sigcheck -------

    [-] 2006-10-18 20:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
    [-] 2006-10-18 20:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\dllcache\mspmsnsv.dll
    [-] 2004-08-19 14:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}$BACKUP$\System\MsPMSNSv.dll
    [-] 2004-08-19 14:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\ServicePackFiles\i386\mspmsnsv.dll
    [-] 2004-08-10 22:45 . A477391B7A8B0A0DAABADB17CF533A4B . 25088 . . [10.0.3790.3646] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll
    .
    ((((((((((((((((((((((((((((( SnapShot@2009-09-14_22.36.42 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2001-08-28 13:00 . 2009-09-14 21:23 69678 c:\windows\system32\perfc009.dat
    + 2001-08-28 13:00 . 2009-09-14 23:10 69678 c:\windows\system32\perfc009.dat
    + 2001-08-28 13:00 . 2009-09-14 23:10 438214 c:\windows\system32\perfh009.dat
    - 2001-08-28 13:00 . 2009-09-14 21:23 438214 c:\windows\system32\perfh009.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-25 13680640]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    2009-09-05 18:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft ActiveSync.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft ActiveSync.lnk
    backup=c:\windows\pss\Microsoft ActiveSync.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Desktop Search.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Desktop Search.lnk
    backup=c:\windows\pss\Windows Desktop Search.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^Parents^Menu Démarrer^Programmes^Démarrage^Outil de notification Live Search.lnk]
    path=c:\documents and settings\Parents\Menu Démarrer\Programmes\Démarrage\Outil de notification Live Search.lnk
    backup=c:\windows\pss\Outil de notification Live Search.lnkStartup

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\GridService\\peer.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"=
    "c:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=
    "c:\\Program Files\\Cabal\\launcher\\update\\ESTdnheadless.exe"=
    "c:\\Program Files\\SiSoftware Sandra Lite XII\\RpcAgentSrv.exe"=
    "c:\\Program Files\\SiSoftware Sandra Lite XII\\WNt500x86\\RpcSandraSrv.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
    "AllowInboundEchoRequest"= 1 (0x1)

    R0 JAHCI;JAHCI;c:\windows\system32\drivers\JAHCI.sys [21/07/2006 16:54 33280]
    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [15/09/2009 02:08 28544]
    R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [21/07/2006 16:48 45056]
    R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [12/09/2009 17:37 132168]
    R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [12/09/2009 17:37 25160]
    R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [29/02/2008 16:03 9968]
    R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [29/02/2008 16:03 74480]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [13/09/2009 03:02 108289]
    R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [21/07/2006 18:41 28672]
    S1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [10/11/2006 15:08 24064]
    S3 CAM1690;USB 2.0 Compliance JPEG Video Camera;c:\windows\system32\drivers\cam1690.sys [29/03/2007 17:33 134912]
    S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [23/07/2006 20:39 223232]
    S3 CrystalSysInfo;CrystalSysInfo;c:\program files\MediaCoder\SysInfo.sys [25/09/2007 16:59 15152]
    S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [27/06/2009 13:06 36608]
    S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
    S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\program files\SiSoftware Sandra Lite XII\RpcAgentSrv.exe [23/05/2008 22:53 98488]
    S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [16/02/2006 16:51 4096]
    .
    Contenu du dossier 'Tâches planifiées'

    2009-09-15 c:\windows\Tasks\Listing.job
    - d:\audio\Listing.bat [2004-11-12 16:41]

    2007-05-17 c:\windows\Tasks\Sauvegarde musicale.job
    - c:\windows\system32\ntbackup.exe [2001-08-28 02:34]

    2009-09-14 c:\windows\Tasks\SyncBack Administratif.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-01 c:\windows\Tasks\SyncBack Images.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-07-25 c:\windows\Tasks\SyncBack Installations.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-09 c:\windows\Tasks\SyncBack Jeux de rôle.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-10 c:\windows\Tasks\SyncBack Musiques.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-11 c:\windows\Tasks\SyncBack Pilotes.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-07-25 c:\windows\Tasks\SyncBack Sauvegarde de jeux.job
    - c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

    2009-09-15 c:\windows\Tasks\User_Feed_Synchronization-{D488B395-9EEE-47D4-BF55-2B2D0F979180}.job
    - c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    mWindow Title =
    uInternet Connection Wizard,ShellNext = hxxp://www.aliceadsl.fr/
    uInternet Settings,ProxyOverride = local
    IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: Analyser avec LeechGet - file://c:\program files\LeechGet\\Parser.html
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    IE: Télécharger en utilisant l'assistant LeechGet - file://c:\program files\LeechGet\\Wizard.html
    IE: Télécharger en utilisant LeechGet - file://c:\program files\LeechGet\\AddUrl.html
    Trusted Zone: akamai.net\a248.e
    Trusted Zone: bitdefender.com
    Trusted Zone: ca-normandie.fr\www
    Trusted Zone: kaspersky.com\www
    Trusted Zone: netflame.cc\ssl-hints
    Trusted Zone: zebulon.fr\www
    TCP: {DE16CF88-9DB4-4190-91B6-57630E81D581} = 156.154.70.25,156.154.71.25
    TCP: {F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6} = 156.154.70.25,156.154.71.25
    FF - ProfilePath - c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT530097&SearchSource=3&q=
    FF - prefs.js: browser.startup.homepage - www.kartoo.com
    FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
    FF - component: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
    FF - component: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
    FF - component: c:\program files\Media Converter for Philips\Internet Video Downloader\Plugin_FireFox\components\nsURLRecordEx.dll
    FF - plugin: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
    FF - plugin: c:\documents and settings\Parents\Application Data\Mozilla\plugins\npcoolirisplugin.dll
    FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
    FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
    FF - plugin: c:\program files\Picasa\npPicasa3.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-09-15 23:41
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
    "ImagePath"="c:\windows\system32\GameMon.des -service"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-602162358-1563985344-839522115-1003\Software\UpdateStar\1.0\History\H*a*r*r*y* *P*o*t*t*e*r* *e*t* *l*a* *C*o*u*p*e* *d*e* *F*e*u*"!\0.0.0]
    "ProductID"=dword:0007af68
    "InstallDate"=""

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "cd042efbbd7f7af1647644e76e06692b"=hex:2e,e8,e1,00,eb,16,2b,de,c9,74,d7,95,86,
    d2,b2,23,2e,e8,e1,00,eb,16,2b,de,b9,4a,4a,43,09,81,ee,df,e2,63,26,f1,3f,c8,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,2b,2f,11,c0,1c,
    5d,38,c8,46,47,15,b0,92,4b,c7,ef,04,7b,d7,09,08,ba,f6,a5,6a,9c,d6,61,af,45,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,c9,c0,93,e8,b5,
    17,e7,9d,7a,45,05,fd,91,e8,6f,31,28,8b,30,c5,ac,62,d9,29,ff,7c,85,e0,43,d4,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,dd,4c,cc,92,4a,
    4e,90,09,6b,65,49,6a,7e,99,74,f7,4e,26,3f,d3,54,fd,f8,90,86,8c,21,01,be,91,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,f5,5a,cb,1c,47,
    2b,32,f4,e9,02,6c,fa,fb,1d,47,57,39,b0,dc,9d,8d,0f,8a,c9,f5,1d,4d,73,a8,13,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,8b,bf,42,8c,34,
    be,33,47,50,93,e5,ab,ec,6a,4e,ab,1c,db,4e,4a,ff,30,4a,55,df,20,58,62,78,6b,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "4d370831d2c43cd13623e232fed27b7b"=hex:97,20,4e,9a,c7,f1,35,ee,29,f1,df,fe,fe,
    9d,b1,3c,97,20,4e,9a,c7,f1,35,ee,ac,0d,e2,27,5d,3a,e7,41,fb,a7,78,e6,12,2f,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,a0,d1,2f,f3,4e,
    fa,91,78,aa,52,c6,00,84,3c,26,64,b8,99,31,0d,22,0a,6b,81,01,3a,48,fc,e8,04,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,8a,85,a9,3b,cb,
    1b,0f,b9,b2,46,9a,e2,1b,fe,1b,94,b7,7b,82,ba,b0,a2,92,f6,f6,0f,4e,58,98,5b,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,4c,2b,74,db,c6,
    08,c5,3b,37,a4,aa,c3,a6,15,56,0a,19,84,31,ab,c8,30,36,fd,3d,ce,ea,26,2d,45,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,d0,ff,9f,0e,e8,
    73,0d,53,f8,31,0f,a9,5f,a0,ec,fb,b4,26,d0,7f,32,8a,1e,1e,2a,b7,cc,b5,b9,7f,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,d0,dd,5b,cb,a0,
    06,e8,13,05,73,21,dd,54,d8,4a,c5,e8,30,4a,46,12,02,af,3c,6c,43,2d,1e,aa,22,\
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(832)
    c:\program files\SUPERAntiSpyware\SASWINLO.DLL
    .
    Heure de fin: 2009-09-15 23:43
    ComboFix-quarantined-files.txt 2009-09-15 21:43
    ComboFix2.txt 2009-09-15 18:21
    ComboFix3.txt 2009-09-14 23:44
    ComboFix4.txt 2009-09-14 22:43

    Avant-CF: 58 707 927 040 octets libres
    Après-CF: 58 670 166 016 octets libres

    323 --- E O F --- 2009-08-26 22:00
    0
  19. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    vire les dossiers alcohol et art of magic .trouvés par bitdefender si là source n'est pas sûr. . Tu as le rapport elibaga? Tu peux remettre un rapport avec là dernière version findykill option 1 . Et dire si encore des soucis ? À plus
    0
  20. nddefossez Messages postés 27 Statut Membre
     
    Bonsoir Jlpjlp,

    J'ai viré les dossiers incriminés, quoique surpris car très anciens.
    Comme j'ai lancé plusieurs fois Elibagga, je n'ai plus le fichier trace d'origine. Voici le dernier lancé:

    (16-9-2009 14:47:8)
    EliBagle v12.90 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Septiembre del 2009)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    (16-9-2009 14:47:11)
    EliBagle v12.90 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Septiembre del 2009)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando "C:\"

    Nº Total de Directorios: 23561
    Nº Total de Ficheros: 297687
    Nº de Ficheros Analizados: 18790
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Voici le rapport Findykill option 1

    ############################## | FindyKill V5.011 |

    # User : Parents (Administrateurs) # BUREAU
    # Update on 11/09/2009 by Chiquitine29
    # Start at: 21:44:26 | 16/09/2009
    # Website : http://pagesperso-orange.fr/NosTools/index.html

    # AMD Athlon(tm) 64 Processor 3500+
    # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    # Internet Explorer 8.0.6001.18702
    # Windows Firewall Status : Disabled
    # AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
    # FW : COMODO Firewall[ Enabled ]3.9

    # C:\ # Disque fixe local # 233,75 Go (55,42 Go free) [Racine de Bureau] # NTFS
    # D:\ # Disque fixe local # 465,76 Go (81,6 Go free) [Données] # NTFS
    # E:\ # Disque CD-ROM

    ############################## | Processus actifs |

    ################## | C: |

    ################## | C:\WINDOWS |

    ################## | C:\WINDOWS\system32 |

    ################## | C:\WINDOWS\system32\drivers |

    ################## | C:\Documents and Settings\Parents\Application Data |

    ################## | Temporary Internet Files |

    ################## | Registre / Clés infectieuses |

    Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
    Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
    Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
    Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
    Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
    Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"

    ################## | Etat / Services / Informations |
    # Affichage des fichiers cachés : OK
    # Mode sans echec : OK
    # (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
    # EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
    # (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
    # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
    # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
    # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # FindyKill V5.011 ! |

    nddefossez
    0
  21. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok fais l'option de nettoyage avec findykill. Ensuite dis nous si tu as encore des soucis
    0
  • 1
  • 2