Sujet Précédent Sujet Suivant

Bagle - HELP!

Résolu/Fermé
nddefossez Messages postés 27 Date d'inscription mercredi 7 février 2007 Statut Membre Dernière intervention 21 décembre 2013 - 12 sept. 2009 à 19:31
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 10 oct. 2009 à 19:39
Bonjour,

Après plusieurs jours de galères pour éradiquer le virus Bagle en suivant les recommandations des experts sur le forum, je dois avouer mon échec :(

Mon problème vient du fait que le programme Findykill version 5 plante systématiquement à 40% d'éradication.
C'est systématique que j'inhibe ou pas mon antivirus et mon parefeu.
La version 4 détecte et ne plante pas mais il n'éradique pas entièrement le virus qui revient de plus belle.

Merci pour votre aide.


Je vous joint le rapport de Findykill (option 1):

############################## | FindyKill V5.011 |

# User : Parents (Administrateurs) # BUREAU
# Update on 11/09/2009 by Chiquitine29
# Start at: 19:01:34 | 12/09/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# AMD Athlon(tm) 64 Processor 3500+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | (!) Outdated ]
# FW : COMODO Firewall[ Enabled ]3.9

# C:\ # Disque fixe local # 233,75 Go (55,05 Go free) [Racine de Bureau] # NTFS
# D:\ # Disque fixe local # 465,76 Go (81,6 Go free) [Données] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM

############################## | Processus actifs |


################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Parents\Application Data |

Présent ! C:\Documents and Settings\Parents\Application Data\drivers
Présent ! C:\Documents and Settings\Parents\Application Data\drivers\11s11ro1s1a2.sys
Présent ! C:\Documents and Settings\Parents\Application Data\drivers\downld
Présent ! C:\Documents and Settings\Parents\Application Data\drivers\winupgro.exe

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-602162358-1563985344-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-602162358-1563985344-839522115-1003\Software\bisoft]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-602162358-1563985344-839522115-1003\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # FindyKill V5.011 ! |

36 réponses

  • 1
  • 2
Réponse 1 / 36
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
13 sept. 2009 à 01:40
Bonsoir,
XaTon, pourquoi faire Smitfraudfix sur du Bagle alors que Findykill te montre l'infection ?!
C'est vraiment une désinfection qui démarre du pied gauche !
3
Réponse 2 / 36
XaTon Messages postés 2041 Date d'inscription lundi 6 juillet 2009 Statut Membre Dernière intervention 22 janvier 2015 208
12 sept. 2009 à 19:32
Bonjour ,

~~~~~~~~~~~~~~> Mode sans echec <~~~~~~~~~~~~~~~~~~~

Redémarre ton PC, et dès qu'il se relance tape la touche F8 ou F5 toutes les secondes. Tu verras alors une fenêtre

• A l'aide des touches directionnelles, sélectionne Mode sans échec, qui sera ainsi mis en surbrillance. Appui ensuite sur la touche Enter ou Entrée.
Un nouvel écran apparaît :

• Choisi le système d'exploitation qui démarreras en Mode sans échec avec les touches directionnelles et validez en appuyant sur la touche Enter ou Entrée.

/!\ Le Mode sans échec peut mettre un certain temps à démarrer, soit patient !

~~~~~~~~~~~~~~> SmitFraudfix <~~~~~~~~~~~~~~~~~~~

/!\ Cette manipulation est a faire en mode sans échec /!\

• Relance SmitFraudfix
• Cette fois-ci tu vas choisir l'option 2 ( Désinfection ) .

• Une fois l'option 2 lancée , laisse le scan ce terminer

Note
SmitFraudfix peut demander de nettoyer le registre, répondre oui à la question, pour cela taper sur la touche o puis valider par la touche entrée.

• Une fois le nettoyage terminé, SmitFraudfix ouvre le rapport de nettoyage sur le bloc-note.
• La connexion internet ne fonctionne pas en mode sans échec, enregistre le rapport sur le bureau.

• Redémarrer l'ordinateur en mode normal
• Sur ton bureau doit se trouver le rapport
Poste le moi sur le forum


~~~~~~~~~~~~~~~> Hijack This <~~~~~~~~~~~~~~~~~~~

Telecharger Hijack

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Une fois Hijack installer, exécuter le :
• Cliquer sur "Do a system scan and save a logfile"

• Un fichier texte s'ouvre, si ce n'est pas le cas celui-ci se trouve dans le même dossier que hijackthis.exe .
• Faire édition / sélectionner tout
• Clic droit / copier

• Poste moi le rapport entier
0
Réponse 3 / 36
nddefossez Messages postés 27 Date d'inscription mercredi 7 février 2007 Statut Membre Dernière intervention 21 décembre 2013
12 sept. 2009 à 20:26
Bonsoir Xaton, merci de te charger de mon cas.

Tu es impressionnant de réactivité. J'avoue l'être un peu moins.
Il faut dire que comme Bagle a bloqué le "mode sans échec", j'ai dû trifouiller un peu pour le remettre d'aplomb.
Je ne disposais pas de SmitFraudFix, je l'ai donc téléchargé sur http://siri.urz.free.fr/Fix/SmitfraudFix.exe.

Pour info, j'utilise mon portable pour communiquer avec toi car je n'ai pas trop confiance de lancer Firefox sur mon PC vérolé.

Voici comme demandé le rapport SmitFraudfix:
SmitFraudFix v2.423

Rapport fait à 20:03:22,42, 12/09/2009
Executé à partir de C:\Documents and Settings\Parents\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.255.255.255 serial.alcohol-soft.com
94.23.6.217 status.wow-europe.com

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE16CF88-9DB4-4190-91B6-57630E81D581}: NameServer=156.154.70.25,156.154.71.25
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: NameServer=156.154.70.25,156.154.71.25
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE16CF88-9DB4-4190-91B6-57630E81D581}: NameServer=156.154.70.25,156.154.71.25
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: NameServer=156.154.70.25,156.154.71.25
HKLM\SYSTEM\CS2\Services\Tcpip\..\{DE16CF88-9DB4-4190-91B6-57630E81D581}: NameServer=156.154.70.25,156.154.71.25
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: NameServer=156.154.70.25,156.154.71.25
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4D98DAD5-D0C3-46FA-82BB-3BF330D42F38}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: NameServer=213.36.80.1,192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Voici comme demandé le rapport Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:21:19, on 12/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Mouse\Amoumain.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\InkSaver\InkSaver.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Comodo\COMODO Internet Security\cfp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Parents\Local Settings\Apps\F.lux\flux.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Parents\Bureau\HiJackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 94.23.6.217 status.wow-europe.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Grid Service] "C:\Program Files\GridService\peer.exe" -n Grid
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe
O4 - HKLM\..\Run: [InkSaver] C:\Program Files\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\NPSAgent.exe
O4 - HKCU\..\Run: [F.lux] "C:\Documents and Settings\Parents\Local Settings\Apps\F.lux\flux.exe" /noshow
O4 - HKCU\..\Run: [sTabLauncher] C:\Program Files\sTabLauncher\sTabLauncher.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet\\Parser.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet\\Wizard.html
O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet\\AddUrl.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://a248.e.akamai.net
O15 - Trusted Zone: http://*.bitdefender.com
O15 - Trusted Zone: https://www.credit-agricole.fr/ca-normandie/particulier.html
O15 - Trusted Zone: https://www.kaspersky.fr/
O15 - Trusted Zone: http://ssl-hints.netflame.cc
O15 - Trusted Zone: https://www.zebulon.fr/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE16CF88-9DB4-4190-91B6-57630E81D581}: NameServer = 156.154.70.25,156.154.71.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: NameServer = 156.154.70.25,156.154.71.25
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: FsUsbExService - Unknown owner - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware Sandra Lite XII\RpcAgentSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
0
Réponse 4 / 36
XaTon Messages postés 2041 Date d'inscription lundi 6 juillet 2009 Statut Membre Dernière intervention 22 janvier 2015 208
13 sept. 2009 à 01:37
~~~~~~~~~~~~~~> Malwarebytes <~~~~~~~~~~~~~~~~~~~


Télécharger Malwarebytes

https://download.cnet.com/malwarebytes-anti-malware/windows.html?part=dl-10804572&subj=dl&tag=button

• Enregistre le sur le bureau
• Double clique sur le fichier téléchargé pour lancer le processus d’installation
• Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware
• Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
• Une fois la mise à jour terminée, ferme Malwarebytes

Double-clique sur l’icône de malwarebytes pour le relancer
• Dans l’onglet, Recherche, probablement ouvert par défaut,
• Sélectionne Exécuter un examen complet
• Clique sur Rechercher
• Le scan démarre

• A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
• Clique sur Ok pour poursuivre.
• Si des malwares ont été détectés, cliques sur Afficher les résultats
• Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

• Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse.
• Rends toi dans l’onglet rapport/log
• Tu clique dessus pour l’afficher.
• Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
• Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
• Tu clique droit dans le cadre de la réponse et coller
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 36
XaTon Messages postés 2041 Date d'inscription lundi 6 juillet 2009 Statut Membre Dernière intervention 22 janvier 2015 208
13 sept. 2009 à 02:17 
alors que Findykill te montre l'infection


D'accord mais FindyKill ne veut pas la supprimer

Et pourquoi SmitFraud ?
> Erreur de ma part
0
Réponse 6 / 36
nddefossez Messages postés 27 Date d'inscription mercredi 7 février 2007 Statut Membre Dernière intervention 21 décembre 2013
13 sept. 2009 à 20:26
Bonjour Crapoulou et XaTon,

Voici les dernières informations.
Je me suis permis quelques libertés hier avant votre réponse:
1 - J'ai lancé CCleaner afin d'inhiber tous les run de lancement au démarrage.
2 - J'ai débranché le câble Ethernet afin de garantir que Bagle ne cherche pas des petits copains à mon insu
3 - J'ai libéré le mode sans échec pour m'y installer (quoique sans les runs, ce n'est plus aussi indispensable...)
4 - J'ai lancé Findykill 4.7 (option 2) pour éradiquer cette saleté: les fichiers EXE sont nettoyés (en particulier winupgro.exe)
5 - J'ai lancé Findykill 5 (option 1) pour détecter si Bagle a disparu. Il ne reste plus que les clés de registre infectées
6 - Je te rappelle que Findykill 5 (option 2) plante systématiquement chez moi, j'ai donc supprimer à ma mano les clefs infectées récalcitrantes suivantes:
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s­1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a]
Pour permettre la suppression de ces clefs non essentielles, faire clic droit sur la clef - Autorisations - Contrôle total autorisé
6.5 - J'ai prié :)
7 - J'ai viré Avira (au cas où lui-même serait infecté)
8 - J'ai relancé Findykill 5 (option 1) pour vérifier que plus rien n'est détecté -> c'est le cas
9 - Rebrancher internet
10 - J'ai réinstallé Avira Antivirus et Comodo parefeu avec mise à jour
11 - J'ai fait tourner Avira en mode complet -> pas de détection
12 - J'ai fait tourner Malwarebytes en mode complet -> pas de détection
13 - Réactivation de la restauration système que j'avais inhibé préalablement
14 - J'ai relancé Findykill 5 (option 1) pour vérifier que plus rien n'est détecté -> c'est le cas
15 - Bagle semble mort MAIS:
J'ai déjà eu ce cas rassurant jusqu'à ce que je libère les runs de démarrage. La fenêtre avec la boite de dialogue en langue asiatique réapparait -> je suis de nouveau infecté comme le confirme alors Findykill.
Je suis donc très prudent.
Je me propose de relancer les runs un par un mais suis très angoissé à relancer le PC...



Extrait Malwarebytes
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2788
Windows 5.1.2600 Service Pack 3

13/09/2009 19:45:36
mbam-log-2009-09-13 (19-45-36).txt

Type de recherche: Examen complet (C:\|D:\|H:\|)
Eléments examinés: 484883
Temps écoulé: 2 hour(s), 29 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 7 / 36
XaTon Messages postés 2041 Date d'inscription lundi 6 juillet 2009 Statut Membre Dernière intervention 22 janvier 2015 208
14 sept. 2009 à 17:55 
Je te rappelle que Findykill 5 (option 2) plante systématiquement chez moi, j'ai donc supprimer à ma mano les clefs infectées récalcitrantes suivantes:
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s­­1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a]


Je pense que tu a opté pour une mauvaise solution

~~~~~~~~~~~~~~~> Hijack This <~~~~~~~~~~~~~~~~~~~

Telecharger Hijack

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Une fois Hijack installer, exécuter le :
• Cliquer sur "Do a system scan and save a logfile"

• Un fichier texte s'ouvre, si ce n'est pas le cas celui-ci se trouve dans le même dossier que hijackthis.exe .
• Faire édition / sélectionner tout
• Clic droit / copier

• Poste moi le rapport entier
0
Réponse 8 / 36
nddefossez Messages postés 27 Date d'inscription mercredi 7 février 2007 Statut Membre Dernière intervention 21 décembre 2013
14 sept. 2009 à 19:02
Voilà

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:29, on 14/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Comodo\COMODO Internet Security\cfp.exe
C:\Documents and Settings\Parents\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 94.23.6.217 status.wow-europe.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet\\Parser.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet\\Wizard.html
O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet\\AddUrl.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://a248.e.akamai.net
O15 - Trusted Zone: http://*.bitdefender.com
O15 - Trusted Zone: https://www.credit-agricole.fr/ca-normandie/particulier.html
O15 - Trusted Zone: https://www.kaspersky.fr/
O15 - Trusted Zone: http://ssl-hints.netflame.cc
O15 - Trusted Zone: https://www.zebulon.fr/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE16CF88-9DB4-4190-91B6-57630E81D581}: NameServer = 156.154.70.25,156.154.71.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6}: NameServer = 156.154.70.25,156.154.71.25
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: FsUsbExService - Unknown owner - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware Sandra Lite XII\RpcAgentSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
0
Réponse 9 / 36
nddefossez Messages postés 27 Date d'inscription mercredi 7 février 2007 Statut Membre Dernière intervention 21 décembre 2013
14 sept. 2009 à 23:01
C'est effectivement une mauvaise solution.

Bagle est de retour!!!
J'arrive à le contenir (genre tri-thérapie) mais pas à l'éradiquer. Je n'arrive pas à voir où il se cache.
Et à la moindre occasion, il repart...

Peut-être dans:
################## | Registre / Clés infectieuses |
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

Je sens que je vais encore me coucher tard ce soir :(

nddefossez
0
Réponse 10 / 36
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
14 sept. 2009 à 23:15
slt

si findykill passe pas fais ceci: (tout faire)


vire tes cracks (sinon l'infection reviendra) puis




# télécharger Hoster :
http://www.funkytoad.com/download/HostsXpert.zip

# Dézipper le dossier sur le bureau.
# Lancer Hoster et cliquer sur Restore Microsoft's Hosts File


si impossible fais RHOST

http://siri.urz.free.fr/RHosts.php

___________________


* Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.
* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
* Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse

Si, dans le rapport,elibaga tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).


et ils mettront a jour elibaga dans les 48 heures ce qui permettra de virer le virus que tu as!!!

------------


Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

------------

colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr


Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
0
Réponse 11 / 36
nddefossez Messages postés 27 Date d'inscription mercredi 7 février 2007 Statut Membre Dernière intervention 21 décembre 2013
15 sept. 2009 à 00:53
Bonsoir ou bonjour (je ne sais plus trop) Jlpjlp,

Je la sens bien ta procédure :)

1 - Cracks virés (en fait depuis longtemps)
2 - Restore Microsoft's Hosts File FAIT
3 - Téléchargement ELIBAGLA v12.89 fait en mode traduction Google (l'envoi de SMS est inopérante!)
4 - Pour info, dans cette version, "Unidad" est remplacé par "Carpeta"
5 - Exécution de Elibagla FAIT
6 - Il m'a effectivement demandé d'envoyer le fichier "winupgro.exe" mais il l'avait déjà détruit... Ce sera pour la prochaine fois si le virus revient.
7 - Lancement et exécution de Combofix FAIT
8 - Je lance Bitdefender en ligne cette nuit et te mets au courant demain soir.
9 - Merci beaucoup.



Rapport EliBagle
(14-9-2009 22:4:8)
EliBagle v12.89 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Septiembre del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.89
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\PARENTS\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\PARENTS\APPLICATION DATA\DRIVERS\11S11RO1S1A2.SYS --> Eliminado Bagle(rootkit)

(14-9-2009 22:11:30)
EliBagle v12.89 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Septiembre del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 23572
Nº Total de Ficheros: 296853
Nº de Ficheros Analizados: 18285
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


Rapport Combofix
ComboFix 09-09-14.02 - Parents 15/09/2009 0:28.3.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1419 [GMT 2:00]
Lancé depuis: c:\documents and settings\Parents\Bureau\KCbag.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Parents\Application Data\Microsoft\Clip Organizer\mstore10.mgc
c:\documents and settings\Parents\Application Data\Microsoft\Clip Organizer\Offic10.MGC
c:\documents and settings\Parents\Application Data\Microsoft\Installer\{8527C3D5-BA1D-46E9-88D2-AF25544311A3}\NewShortcut1_8527C3D5BA1D46E988D2AF25544311A3.exe
c:\documents and settings\Parents\Application Data\Microsoft\Installer\{8527C3D5-BA1D-46E9-88D2-AF25544311A3}\NewShortcut2_8527C3D5BA1D46E988D2AF25544311A3.exe
c:\documents and settings\Parents\Application Data\Microsoft\Installer\{FF24F097-D090-41D2-8E9C-BAFEBBFD938C}\NewShortcut1.4DA64122_6F1D_4317_BC6A_2B3299881D1B.exe
c:\documents and settings\Parents\Application Data\Microsoft\Installer\{FF24F097-D090-41D2-8E9C-BAFEBBFD938C}\NewShortcut2.4DA64122_6F1D_4317_BC6A_2B3299881D1B.exe
c:\documents and settings\Parents\Application Data\Microsoft\Installer\{FF24F097-D090-41D2-8E9C-BAFEBBFD938C}\NewShortcut3.4DA64122_6F1D_4317_BC6A_2B3299881D1B.exe
c:\documents and settings\Parents\Application Data\Microsoft\Installer\{FF24F097-D090-41D2-8E9C-BAFEBBFD938C}\NewShortcut4.4DA64122_6F1D_4317_BC6A_2B3299881D1B.exe
c:\documents and settings\Parents\Application Data\Microsoft\Installer\{FF24F097-D090-41D2-8E9C-BAFEBBFD938C}\NewShortcut6.4DA64122_6F1D_4317_BC6A_2B3299881D1B.exe
C:\InfoSat.txt
C:\Muestras
c:\muestras\WINUPGRO.EXE.Muestra EliBagle v12.89
c:\windows\Installer\3b989e.msi
c:\windows\olinkinfo.dll
c:\windows\system32\FsUsbExService.Exe
c:\windows\system32\install.exe
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Legacy_OREANS32
-------\Service_NPF
-------\Service_oreans32
-------\Legacy_FsUsbExService
-------\Service_FsUsbExService


((((((((((((((((((((((((((((( Fichiers créés du 2009-08-14 au 2009-09-14 ))))))))))))))))))))))))))))))))))))
.

2009-09-14 22:36 . 2009-09-14 22:36 53248 ----a-w- c:\temp\catchme.dll
2009-09-14 22:36 . 2009-09-14 22:36 16384 ----atw- c:\temp\Perflib_Perfdata_678.dat
2009-09-14 22:28 . 2009-09-14 22:28 -------- d-----w- c:\temp\WPDNSE
2009-09-14 22:25 . 2009-09-14 22:25 -------- d-----w- c:\temp\Comodo
2009-09-14 21:07 . 2009-09-14 22:04 -------- d-----w- c:\documents and settings\Parents\Application Data\drivers
2009-09-13 01:02 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-13 01:02 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-13 01:02 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\program files\Avira
2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-09-12 22:40 . 2009-09-13 00:58 -------- d-----w- C:\ToolBar SD
2009-09-12 15:37 . 2009-09-12 15:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo
2009-09-12 15:37 . 2009-09-12 15:37 87104 ----a-w- c:\windows\system32\drivers\inspect.sys
2009-09-12 15:37 . 2009-09-12 15:37 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2009-09-12 15:37 . 2009-09-12 15:37 179792 ----a-w- c:\windows\system32\guard32.dll
2009-09-12 15:37 . 2009-09-12 15:37 132168 ----a-w- c:\windows\system32\drivers\cmdguard.sys
2009-09-12 15:37 . 2009-09-12 15:37 -------- d-----w- c:\program files\Comodo
2009-09-12 00:16 . 2009-09-14 21:40 -------- d-----w- C:\FindyKill
2009-09-11 22:14 . 2009-09-11 22:14 2855 ----a-w- c:\windows\system32\wintems.PIF
2009-09-11 16:17 . 2009-09-12 16:40 -------- d-----w- C:\3CoFi
2009-09-10 19:08 . 2009-09-10 19:08 -------- d-----w- c:\documents and settings\Parents\Application Data\Malwarebytes
2009-09-10 19:08 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 19:08 . 2009-09-10 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-10 19:08 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-10 19:08 . 2009-09-11 16:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-09 20:22 . 2009-09-14 21:36 -------- d-----w- c:\program files\FindyKill
2009-09-06 09:47 . 2009-09-06 09:47 -------- d-----w- c:\documents and settings\Parents\Application Data\Broad Intelligence
2009-09-04 20:39 . 2009-09-04 20:45 -------- d-----w- c:\program files\Alcohol 120
2009-08-31 18:37 . 2009-08-31 18:40 -------- d-----w- c:\documents and settings\Parents\Local Settings\Application Data\Mirillis
2009-08-31 18:13 . 2009-08-31 18:13 -------- d-----w- c:\program files\Splash
2009-08-28 16:04 . 2009-08-28 16:04 -------- d-----w- c:\documents and settings\Parents\Application Data\Panasonic
2009-08-27 19:42 . 2009-08-28 15:43 -------- d-----w- c:\program files\RocketDock
2009-08-20 20:50 . 2009-08-20 20:50 33824 ----a-w- c:\windows\system32\drivers\oreans32.sys
2009-08-20 11:24 . 2009-09-09 18:07 -------- d-----w- c:\program files\Elite Cabal
2009-08-17 19:07 . 2009-08-17 19:07 -------- d-----w- c:\program files\Common Files
2009-08-17 16:04 . 2009-08-18 14:10 -------- d-----w- c:\program files\Cabal
2009-08-16 16:34 . 2005-02-23 12:58 11776 ----a-w- c:\windows\system32\drivers\afc.sys
2009-08-16 16:33 . 2007-03-07 14:05 126976 ----a-w- c:\windows\system32\MediaImpression Slideshow.scr
2009-08-16 16:33 . 2009-08-16 16:34 -------- d-----w- c:\windows\system32\MediaImpression Slideshow
2009-08-16 16:33 . 2009-08-16 16:33 -------- d-----w- c:\program files\ArcSoft
2009-08-16 16:29 . 2008-09-25 19:07 45056 ----a-w- c:\windows\system32\PhDi2.sys
2009-08-16 16:28 . 2009-08-16 16:31 -------- d-----w- c:\program files\Photofun

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-14 21:23 . 2001-08-28 13:00 83470 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-14 21:23 . 2001-08-28 13:00 506900 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-14 20:05 . 2006-08-16 20:22 -------- d-----w- c:\program files\eMule
2009-09-13 18:17 . 2009-05-18 22:04 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-12 23:55 . 2009-07-31 21:01 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2009-09-12 18:18 . 2008-04-23 19:44 -------- d-----w- c:\documents and settings\Parents\Application Data\gtk-2.0
2009-09-12 10:39 . 2009-04-11 18:28 -------- d-----w- c:\program files\LeechGet
2009-09-11 22:17 . 2007-07-13 21:18 -------- d-----w- c:\documents and settings\Parents\Application Data\Azureus
2009-09-10 22:30 . 2006-10-06 18:53 -------- d-----w- c:\documents and settings\Parents\Application Data\Mp3tag
2009-09-07 01:27 . 2009-02-12 20:37 -------- d-----w- c:\program files\a-squared Free
2009-09-06 22:09 . 2007-04-19 19:39 -------- d-----w- c:\program files\Cannon Smash
2009-09-06 21:39 . 2009-06-12 22:16 -------- d-----w- c:\documents and settings\Parents\Application Data\ArcSoft
2009-09-06 21:11 . 2009-03-18 16:09 -------- d-----w- c:\program files\Silkroad
2009-09-06 21:10 . 2008-09-09 16:56 13471 ----a-w- c:\documents and settings\All Users\Application Data\xml4.tmp
2009-09-06 21:10 . 2008-05-23 20:58 1801 ----a-w- c:\documents and settings\All Users\Application Data\xml289.tmp
2009-09-06 21:10 . 2008-05-23 20:58 7972 ----a-w- c:\documents and settings\All Users\Application Data\xml286.tmp
2009-09-06 09:44 . 2006-12-28 22:50 -------- d-----w- c:\program files\Ri-li
2009-09-05 18:21 . 2008-04-06 20:36 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-09-04 20:29 . 2008-01-03 23:01 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-09-03 20:10 . 2006-12-14 20:50 -------- d-----w- c:\program files\VisualTaskTips
2009-09-03 20:10 . 2006-12-01 22:51 -------- d-----w- c:\program files\TweakDUN
2009-09-03 20:05 . 2006-10-04 21:25 -------- d-----w- c:\program files\nLite
2009-08-19 22:06 . 2007-11-09 22:50 -------- d-----w- c:\program files\Microsoft ActiveSync
2009-08-17 22:39 . 2007-01-09 21:30 -------- d-----w- c:\program files\SyncBack
2009-08-17 20:59 . 2006-07-21 15:54 105864 ----a-w- c:\documents and settings\Parents\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-16 16:33 . 2006-07-21 16:24 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-08-16 15:00 . 2007-01-07 22:20 -------- d-----w- c:\documents and settings\Parents\Application Data\ZoomBrowser EX
2009-08-16 14:59 . 2008-11-04 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\ZoomBrowser
2009-08-16 14:56 . 2008-10-29 15:09 -------- d-----w- c:\program files\Sweet Home 3D
2009-08-16 14:21 . 2007-03-03 09:51 -------- d-----w- c:\program files\La Marmite du Chef
2009-08-15 20:51 . 2009-08-15 20:51 -------- d-----w- c:\program files\MSBuild
2009-08-15 20:51 . 2009-08-15 20:51 -------- d-----w- c:\program files\Reference Assemblies
2009-08-15 20:46 . 2007-12-31 12:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-08-15 19:20 . 2006-08-13 20:42 -------- d-----w- c:\program files\Java
2009-08-05 09:00 . 2002-08-29 11:44 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-31 19:39 . 2009-06-27 11:03 -------- d-----w- c:\program files\Samsung
2009-07-31 19:38 . 2009-07-31 19:38 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Suite
2009-07-31 19:38 . 2009-07-31 19:38 -------- d-----w- c:\documents and settings\Parents\Application Data\PC Suite
2009-07-31 19:02 . 2008-12-27 12:38 -------- d-----w- c:\program files\Microsoft Silverlight
2009-07-25 20:12 . 2009-05-18 21:45 -------- d-----w- c:\program files\SUPER
2009-07-25 03:23 . 2009-01-10 10:29 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:03 . 2002-08-29 11:44 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2006-07-21 15:43 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:57 . 2002-08-29 11:45 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-25 08:26 . 2002-08-29 11:44 56832 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:26 . 2002-08-29 11:44 147456 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:26 . 2002-08-29 11:44 736768 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:26 . 2002-08-29 11:44 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-25 08:26 . 2001-08-28 13:00 54272 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:26 . 2002-08-29 11:44 301568 ----a-w- c:\windows\system32\kerberos.dll
2009-06-24 11:18 . 2001-08-28 13:00 92928 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2006-05-03 09:06 . 2008-08-24 10:08 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-05-18 21:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-05-18 21:47 216064 --sh--r- c:\windows\system32\nbDX.dll
.

------- Sigcheck -------

[-] 2006-10-18 20:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
[-] 2006-10-18 20:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\dllcache\mspmsnsv.dll
[-] 2004-08-19 14:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}$BACKUP$\System\MsPMSNSv.dll
[-] 2004-08-19 14:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\ServicePackFiles\i386\mspmsnsv.dll
[-] 2004-08-10 22:45 . A477391B7A8B0A0DAABADB17CF533A4B . 25088 . . [10.0.3790.3646] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-25 13680640]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-05 18:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft ActiveSync.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft ActiveSync.lnk
backup=c:\windows\pss\Microsoft ActiveSync.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Desktop Search.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Desktop Search.lnk
backup=c:\windows\pss\Windows Desktop Search.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Parents^Menu Démarrer^Programmes^Démarrage^Outil de notification Live Search.lnk]
path=c:\documents and settings\Parents\Menu Démarrer\Programmes\Démarrage\Outil de notification Live Search.lnk
backup=c:\windows\pss\Outil de notification Live Search.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\GridService\\peer.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"=
"c:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=
"c:\\Program Files\\Cabal\\launcher\\update\\ESTdnheadless.exe"=
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\\Program Files\\SiSoftware Sandra Lite XII\\RpcAgentSrv.exe"=
"c:\\Program Files\\SiSoftware Sandra Lite XII\\WNt500x86\\RpcSandraSrv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 JAHCI;JAHCI;c:\windows\system32\drivers\JAHCI.sys [21/07/2006 16:54 33280]
R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [21/07/2006 16:48 45056]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [12/09/2009 17:37 132168]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [12/09/2009 17:37 25160]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [29/02/2008 16:03 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [29/02/2008 16:03 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [13/09/2009 03:02 108289]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [21/07/2006 18:41 28672]
S1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [10/11/2006 15:08 24064]
S3 ByakkoDriver;ByakkoDriver;\??\c:\temp\4680468.09-09-2009 --> c:\temp\4680468.09-09-2009 [?]
S3 CAM1690;USB 2.0 Compliance JPEG Video Camera;c:\windows\system32\drivers\cam1690.sys [29/03/2007 17:33 134912]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [23/07/2006 20:39 223232]
S3 CrystalSysInfo;CrystalSysInfo;c:\program files\MediaCoder\SysInfo.sys [25/09/2007 16:59 15152]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [27/06/2009 13:06 36608]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\program files\SiSoftware Sandra Lite XII\RpcAgentSrv.exe [23/05/2008 22:53 98488]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [16/02/2006 16:51 4096]
.
Contenu du dossier 'Tâches planifiées'

2009-09-14 c:\windows\Tasks\Listing.job
- d:\audio\Listing.bat [2004-11-12 16:41]

2007-05-17 c:\windows\Tasks\Sauvegarde musicale.job
- c:\windows\system32\ntbackup.exe [2001-08-28 02:34]

2009-09-14 c:\windows\Tasks\SyncBack Administratif.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-01 c:\windows\Tasks\SyncBack Images.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-07-25 c:\windows\Tasks\SyncBack Installations.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-09 c:\windows\Tasks\SyncBack Jeux de rôle.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-10 c:\windows\Tasks\SyncBack Musiques.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-11 c:\windows\Tasks\SyncBack Pilotes.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-07-25 c:\windows\Tasks\SyncBack Sauvegarde de jeux.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-14 c:\windows\Tasks\User_Feed_Synchronization-{D488B395-9EEE-47D4-BF55-2B2D0F979180}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Connection Wizard,ShellNext = hxxp://www.aliceadsl.fr/
uInternet Settings,ProxyOverride = local
IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Analyser avec LeechGet - file://c:\program files\LeechGet\\Parser.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Télécharger en utilisant l'assistant LeechGet - file://c:\program files\LeechGet\\Wizard.html
IE: Télécharger en utilisant LeechGet - file://c:\program files\LeechGet\\AddUrl.html
Trusted Zone: akamai.net\a248.e
Trusted Zone: bitdefender.com
Trusted Zone: ca-normandie.fr\www
Trusted Zone: kaspersky.com\www
Trusted Zone: netflame.cc\ssl-hints
Trusted Zone: zebulon.fr\www
TCP: {DE16CF88-9DB4-4190-91B6-57630E81D581} = 156.154.70.25,156.154.71.25
TCP: {F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6} = 156.154.70.25,156.154.71.25
FF - ProfilePath - c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT530097&SearchSource=3&q=
FF - prefs.js: browser.startup.homepage - www.kartoo.com
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
FF - component: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - component: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - component: c:\program files\Media Converter for Philips\Internet Video Downloader\Plugin_FireFox\components\nsURLRecordEx.dll
FF - plugin: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
FF - plugin: c:\documents and settings\Parents\Application Data\Mozilla\plugins\npcoolirisplugin.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\program files\Picasa\npPicasa3.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe
AddRemove-CANONBJ_Deinstall_CNMCP58.DLL - c:\windows\system32\CNMCP58.exe -PRINTERNAMECanon i560 -HELPERDLLc:\bjprinter\CNMWINDOWS\Canon i560 Installer\Inst2\cnmis.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-15 00:36
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ByakkoDriver]
"ImagePath"="\??\c:\temp\4680468.09-09-2009"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-602162358-1563985344-839522115-1003\Software\UpdateStar\1.0\History\H*a*r*r*y* *P*o*t*t*e*r* *e*t* *l*a* *C*o*u*p*e* *d*e* *F*e*u*"!\0.0.0]
"ProductID"=dword:0007af68
"InstallDate"=""

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:2e,e8,e1,00,eb,16,2b,de,c9,74,d7,95,86,
d2,b2,23,2e,e8,e1,00,eb,16,2b,de,b9,4a,4a,43,09,81,ee,df,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,2b,2f,11,c0,1c,
5d,38,c8,46,47,15,b0,92,4b,c7,ef,04,7b,d7,09,08,ba,f6,a5,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,c9,c0,93,e8,b5,
17,e7,9d,7a,45,05,fd,91,e8,6f,31,28,8b,30,c5,ac,62,d9,29,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,dd,4c,cc,92,4a,
4e,90,09,6b,65,49,6a,7e,99,74,f7,4e,26,3f,d3,54,fd,f8,90,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,f5,5a,cb,1c,47,
2b,32,f4,e9,02,6c,fa,fb,1d,47,57,39,b0,dc,9d,8d,0f,8a,c9,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,8b,bf,42,8c,34,
be,33,47,50,93,e5,ab,ec,6a,4e,ab,1c,db,4e,4a,ff,30,4a,55,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:97,20,4e,9a,c7,f1,35,ee,29,f1,df,fe,fe,
9d,b1,3c,97,20,4e,9a,c7,f1,35,ee,ac,0d,e2,27,5d,3a,e7,41,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,a0,d1,2f,f3,4e,
fa,91,78,aa,52,c6,00,84,3c,26,64,b8,99,31,0d,22,0a,6b,81,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,8a,85,a9,3b,cb,
1b,0f,b9,b2,46,9a,e2,1b,fe,1b,94,b7,7b,82,ba,b0,a2,92,f6,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,4c,2b,74,db,c6,
08,c5,3b,37,a4,aa,c3,a6,15,56,0a,19,84,31,ab,c8,30,36,fd,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,d0,ff,9f,0e,e8,
73,0d,53,f8,31,0f,a9,5f,a0,ec,fb,b4,26,d0,7f,32,8a,1e,1e,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,d0,dd,5b,cb,a0,
06,e8,13,05,73,21,dd,54,d8,4a,c5,e8,30,4a,46,12,02,af,3c,6c,43,2d,1e,aa,22,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(836)
c:\program files\SUPERAntiSpyware\SASWINLO.DLL

- - - - - - - > 'explorer.exe'(3892)
c:\progra~1\MI3AA1~1\Wcesview.dll
c:\progra~1\MI3AA1~1\pegconv.dll
c:\windows\system32\CEUTIL.dll
c:\windows\system32\RAPI.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Comodo\COMODO Internet Security\cmdagent.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\bgsvcgen.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\program files\Canon\CAL\CALMAIN.exe
.
**************************************************************************
.
Heure de fin: 2009-09-14 0:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-09-14 22:42

Avant-CF: 59 022 462 976 octets libres
Après-CF: 58 899 935 232 octets libres

374 --- E O F --- 2009-08-26 22:00
0
Réponse 12 / 36
nddefossez Messages postés 27 Date d'inscription mercredi 7 février 2007 Statut Membre Dernière intervention 21 décembre 2013
15 sept. 2009 à 01:11
Fausse bonne nouvelle, il est revenu.
Cette fois, j'ai pu envoyé le fichier au Brésil en espérant qu'ils pourront trouver la parade.

nddefossez
0
Réponse 13 / 36
nddefossez Messages postés 27 Date d'inscription mercredi 7 février 2007 Statut Membre Dernière intervention 21 décembre 2013
15 sept. 2009 à 02:08
Je craque:
- Kapersky me dit que ma console Java n'est pas compatible
- Bitdefender ne tourne pas sur Firefox et mon Internet Explorer est HS
- Je lance donc Pandasoft et je vais me coucher :(
0
Réponse 14 / 36
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
15 sept. 2009 à 07:55
Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :





Driver ::
ByakkoDriver
File::
c:\temp\4680468.09-09-2009
c:\windows\system32\wintems.PIF
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ByakkoDriver]





Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.



Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

_______________________




colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr


Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
0
Réponse 15 / 36
nddefossez Messages postés 27 Date d'inscription mercredi 7 février 2007 Statut Membre Dernière intervention 21 décembre 2013
15 sept. 2009 à 20:23
Salut Jlpjlp, je suis de retour.

Voici le compte rendu après la manip (en attendant le traitement par l'antivirus en ligne)

ComboFix 09-09-14.02 - Parents 15/09/2009 20:11.5.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1590 [GMT 2:00]
Lancé depuis: c:\documents and settings\Parents\Bureau\KCbag.exe
Commutateurs utilisés :: c:\documents and settings\Parents\Bureau\CFscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

FILE ::
"c:\temp\4680468.09-09-2009"
"c:\windows\system32\wintems.PIF"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt
c:\windows\system32\wintems.PIF

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-08-15 au 2009-09-15 ))))))))))))))))))))))))))))))))))))
.

2009-09-15 18:19 . 2009-09-15 18:19 53248 ----a-w- c:\temp\catchme.dll
2009-09-15 18:11 . 2009-09-15 18:11 -------- d-----w- c:\temp\WPDNSE
2009-09-15 00:08 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-09-15 00:07 . 2009-09-15 00:07 -------- d-----w- c:\program files\Panda Security
2009-09-14 23:54 . 2009-09-15 18:18 -------- d-----w- c:\temp\hsperfdata_Parents
2009-09-13 01:02 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-13 01:02 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-13 01:02 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\program files\Avira
2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-09-12 22:40 . 2009-09-13 00:58 -------- d-----w- C:\ToolBar SD
2009-09-12 15:37 . 2009-09-12 15:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo
2009-09-12 15:37 . 2009-09-12 15:37 87104 ----a-w- c:\windows\system32\drivers\inspect.sys
2009-09-12 15:37 . 2009-09-12 15:37 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2009-09-12 15:37 . 2009-09-12 15:37 179792 ----a-w- c:\windows\system32\guard32.dll
2009-09-12 15:37 . 2009-09-12 15:37 132168 ----a-w- c:\windows\system32\drivers\cmdguard.sys
2009-09-12 15:37 . 2009-09-12 15:37 -------- d-----w- c:\program files\Comodo
2009-09-12 00:16 . 2009-09-14 23:59 -------- d-----w- C:\FindyKill
2009-09-11 16:17 . 2009-09-12 16:40 -------- d-----w- C:\3CoFi
2009-09-10 19:08 . 2009-09-10 19:08 -------- d-----w- c:\documents and settings\Parents\Application Data\Malwarebytes
2009-09-10 19:08 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 19:08 . 2009-09-10 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-10 19:08 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-10 19:08 . 2009-09-11 16:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-09 20:22 . 2009-09-14 21:36 -------- d-----w- c:\program files\FindyKill
2009-09-06 09:47 . 2009-09-06 09:47 -------- d-----w- c:\documents and settings\Parents\Application Data\Broad Intelligence
2009-09-04 20:39 . 2009-09-04 20:45 -------- d-----w- c:\program files\Alcohol 120
2009-08-31 18:37 . 2009-08-31 18:40 -------- d-----w- c:\documents and settings\Parents\Local Settings\Application Data\Mirillis
2009-08-31 18:13 . 2009-08-31 18:13 -------- d-----w- c:\program files\Splash
2009-08-28 16:04 . 2009-08-28 16:04 -------- d-----w- c:\documents and settings\Parents\Application Data\Panasonic
2009-08-27 19:42 . 2009-08-28 15:43 -------- d-----w- c:\program files\RocketDock
2009-08-20 20:50 . 2009-08-20 20:50 33824 ----a-w- c:\windows\system32\drivers\oreans32.sys
2009-08-20 11:24 . 2009-09-09 18:07 -------- d-----w- c:\program files\Elite Cabal
2009-08-17 19:07 . 2009-08-17 19:07 -------- d-----w- c:\program files\Common Files
2009-08-17 16:04 . 2009-08-18 14:10 -------- d-----w- c:\program files\Cabal

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-14 23:10 . 2001-08-28 13:00 83470 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-14 23:10 . 2001-08-28 13:00 506900 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-14 20:05 . 2006-08-16 20:22 -------- d-----w- c:\program files\eMule
2009-09-13 18:17 . 2009-05-18 22:04 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-12 23:55 . 2009-07-31 21:01 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2009-09-12 18:18 . 2008-04-23 19:44 -------- d-----w- c:\documents and settings\Parents\Application Data\gtk-2.0
2009-09-12 10:39 . 2009-04-11 18:28 -------- d-----w- c:\program files\LeechGet
2009-09-11 22:17 . 2007-07-13 21:18 -------- d-----w- c:\documents and settings\Parents\Application Data\Azureus
2009-09-10 22:30 . 2006-10-06 18:53 -------- d-----w- c:\documents and settings\Parents\Application Data\Mp3tag
2009-09-07 01:27 . 2009-02-12 20:37 -------- d-----w- c:\program files\a-squared Free
2009-09-06 22:09 . 2007-04-19 19:39 -------- d-----w- c:\program files\Cannon Smash
2009-09-06 21:39 . 2009-06-12 22:16 -------- d-----w- c:\documents and settings\Parents\Application Data\ArcSoft
2009-09-06 21:11 . 2009-03-18 16:09 -------- d-----w- c:\program files\Silkroad
2009-09-06 21:10 . 2008-09-09 16:56 13471 ----a-w- c:\documents and settings\All Users\Application Data\xml4.tmp
2009-09-06 21:10 . 2008-05-23 20:58 1801 ----a-w- c:\documents and settings\All Users\Application Data\xml289.tmp
2009-09-06 21:10 . 2008-05-23 20:58 7972 ----a-w- c:\documents and settings\All Users\Application Data\xml286.tmp
2009-09-06 09:44 . 2006-12-28 22:50 -------- d-----w- c:\program files\Ri-li
2009-09-05 18:21 . 2008-04-06 20:36 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-09-04 20:29 . 2008-01-03 23:01 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-09-03 20:10 . 2006-12-14 20:50 -------- d-----w- c:\program files\VisualTaskTips
2009-09-03 20:10 . 2006-12-01 22:51 -------- d-----w- c:\program files\TweakDUN
2009-09-03 20:05 . 2006-10-04 21:25 -------- d-----w- c:\program files\nLite
2009-08-19 22:06 . 2007-11-09 22:50 -------- d-----w- c:\program files\Microsoft ActiveSync
2009-08-17 22:39 . 2007-01-09 21:30 -------- d-----w- c:\program files\SyncBack
2009-08-17 20:59 . 2006-07-21 15:54 105864 ----a-w- c:\documents and settings\Parents\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-16 16:33 . 2009-08-16 16:33 -------- d-----w- c:\program files\ArcSoft
2009-08-16 16:33 . 2006-07-21 16:24 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-08-16 16:31 . 2009-08-16 16:28 -------- d-----w- c:\program files\Photofun
2009-08-16 15:00 . 2007-01-07 22:20 -------- d-----w- c:\documents and settings\Parents\Application Data\ZoomBrowser EX
2009-08-16 14:59 . 2008-11-04 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\ZoomBrowser
2009-08-16 14:56 . 2008-10-29 15:09 -------- d-----w- c:\program files\Sweet Home 3D
2009-08-16 14:21 . 2007-03-03 09:51 -------- d-----w- c:\program files\La Marmite du Chef
2009-08-15 20:51 . 2009-08-15 20:51 -------- d-----w- c:\program files\MSBuild
2009-08-15 20:51 . 2009-08-15 20:51 -------- d-----w- c:\program files\Reference Assemblies
2009-08-15 20:46 . 2007-12-31 12:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-08-15 19:20 . 2006-08-13 20:42 -------- d-----w- c:\program files\Java
2009-08-05 09:00 . 2002-08-29 11:44 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-31 19:39 . 2009-06-27 11:03 -------- d-----w- c:\program files\Samsung
2009-07-31 19:38 . 2009-07-31 19:38 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Suite
2009-07-31 19:38 . 2009-07-31 19:38 -------- d-----w- c:\documents and settings\Parents\Application Data\PC Suite
2009-07-31 19:02 . 2008-12-27 12:38 -------- d-----w- c:\program files\Microsoft Silverlight
2009-07-25 20:12 . 2009-05-18 21:45 -------- d-----w- c:\program files\SUPER
2009-07-25 03:23 . 2009-01-10 10:29 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:03 . 2002-08-29 11:44 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2006-07-21 15:43 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:57 . 2002-08-29 11:45 915456 ------w- c:\windows\system32\wininet.dll
2009-06-25 08:26 . 2002-08-29 11:44 56832 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:26 . 2002-08-29 11:44 147456 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:26 . 2002-08-29 11:44 736768 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:26 . 2002-08-29 11:44 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-25 08:26 . 2001-08-28 13:00 54272 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:26 . 2002-08-29 11:44 301568 ----a-w- c:\windows\system32\kerberos.dll
2009-06-24 11:18 . 2001-08-28 13:00 92928 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2006-05-03 09:06 . 2008-08-24 10:08 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-05-18 21:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-05-18 21:47 216064 --sh--r- c:\windows\system32\nbDX.dll
.

------- Sigcheck -------

[-] 2006-10-18 20:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
[-] 2006-10-18 20:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\dllcache\mspmsnsv.dll
[-] 2004-08-19 14:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}$BACKUP$\System\MsPMSNSv.dll
[-] 2004-08-19 14:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\ServicePackFiles\i386\mspmsnsv.dll
[-] 2004-08-10 22:45 . A477391B7A8B0A0DAABADB17CF533A4B . 25088 . . [10.0.3790.3646] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-09-14_22.36.42 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-08-28 13:00 . 2009-09-14 21:23 69678 c:\windows\system32\perfc009.dat
+ 2001-08-28 13:00 . 2009-09-14 23:10 69678 c:\windows\system32\perfc009.dat
+ 2001-08-28 13:00 . 2009-09-14 23:10 438214 c:\windows\system32\perfh009.dat
- 2001-08-28 13:00 . 2009-09-14 21:23 438214 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-25 13680640]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-05 18:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft ActiveSync.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft ActiveSync.lnk
backup=c:\windows\pss\Microsoft ActiveSync.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Desktop Search.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Desktop Search.lnk
backup=c:\windows\pss\Windows Desktop Search.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Parents^Menu Démarrer^Programmes^Démarrage^Outil de notification Live Search.lnk]
path=c:\documents and settings\Parents\Menu Démarrer\Programmes\Démarrage\Outil de notification Live Search.lnk
backup=c:\windows\pss\Outil de notification Live Search.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\GridService\\peer.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"=
"c:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=
"c:\\Program Files\\Cabal\\launcher\\update\\ESTdnheadless.exe"=
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\\Program Files\\SiSoftware Sandra Lite XII\\RpcAgentSrv.exe"=
"c:\\Program Files\\SiSoftware Sandra Lite XII\\WNt500x86\\RpcSandraSrv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 JAHCI;JAHCI;c:\windows\system32\drivers\JAHCI.sys [21/07/2006 16:54 33280]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [15/09/2009 02:08 28544]
R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [21/07/2006 16:48 45056]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [12/09/2009 17:37 132168]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [12/09/2009 17:37 25160]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [29/02/2008 16:03 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [29/02/2008 16:03 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [13/09/2009 03:02 108289]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [21/07/2006 18:41 28672]
S1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [10/11/2006 15:08 24064]
S3 CAM1690;USB 2.0 Compliance JPEG Video Camera;c:\windows\system32\drivers\cam1690.sys [29/03/2007 17:33 134912]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [23/07/2006 20:39 223232]
S3 CrystalSysInfo;CrystalSysInfo;c:\program files\MediaCoder\SysInfo.sys [25/09/2007 16:59 15152]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [27/06/2009 13:06 36608]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\program files\SiSoftware Sandra Lite XII\RpcAgentSrv.exe [23/05/2008 22:53 98488]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [16/02/2006 16:51 4096]
.
Contenu du dossier 'Tâches planifiées'

2009-09-15 c:\windows\Tasks\Listing.job
- d:\audio\Listing.bat [2004-11-12 16:41]

2007-05-17 c:\windows\Tasks\Sauvegarde musicale.job
- c:\windows\system32\ntbackup.exe [2001-08-28 02:34]

2009-09-14 c:\windows\Tasks\SyncBack Administratif.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-01 c:\windows\Tasks\SyncBack Images.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-07-25 c:\windows\Tasks\SyncBack Installations.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-09 c:\windows\Tasks\SyncBack Jeux de rôle.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-10 c:\windows\Tasks\SyncBack Musiques.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-11 c:\windows\Tasks\SyncBack Pilotes.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-07-25 c:\windows\Tasks\SyncBack Sauvegarde de jeux.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-15 c:\windows\Tasks\User_Feed_Synchronization-{D488B395-9EEE-47D4-BF55-2B2D0F979180}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Connection Wizard,ShellNext = hxxp://www.aliceadsl.fr/
uInternet Settings,ProxyOverride = local
IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Analyser avec LeechGet - file://c:\program files\LeechGet\\Parser.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Télécharger en utilisant l'assistant LeechGet - file://c:\program files\LeechGet\\Wizard.html
IE: Télécharger en utilisant LeechGet - file://c:\program files\LeechGet\\AddUrl.html
Trusted Zone: akamai.net\a248.e
Trusted Zone: bitdefender.com
Trusted Zone: ca-normandie.fr\www
Trusted Zone: kaspersky.com\www
Trusted Zone: netflame.cc\ssl-hints
Trusted Zone: zebulon.fr\www
TCP: {DE16CF88-9DB4-4190-91B6-57630E81D581} = 156.154.70.25,156.154.71.25
TCP: {F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6} = 156.154.70.25,156.154.71.25
FF - ProfilePath - c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT530097&SearchSource=3&q=
FF - prefs.js: browser.startup.homepage - www.kartoo.com
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
FF - component: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - component: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - component: c:\program files\Media Converter for Philips\Internet Video Downloader\Plugin_FireFox\components\nsURLRecordEx.dll
FF - plugin: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
FF - plugin: c:\documents and settings\Parents\Application Data\Mozilla\plugins\npcoolirisplugin.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\program files\Picasa\npPicasa3.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-15 20:19
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-602162358-1563985344-839522115-1003\Software\UpdateStar\1.0\History\H*a*r*r*y* *P*o*t*t*e*r* *e*t* *l*a* *C*o*u*p*e* *d*e* *F*e*u*"!\0.0.0]
"ProductID"=dword:0007af68
"InstallDate"=""

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:2e,e8,e1,00,eb,16,2b,de,c9,74,d7,95,86,
d2,b2,23,2e,e8,e1,00,eb,16,2b,de,b9,4a,4a,43,09,81,ee,df,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,2b,2f,11,c0,1c,
5d,38,c8,46,47,15,b0,92,4b,c7,ef,04,7b,d7,09,08,ba,f6,a5,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,c9,c0,93,e8,b5,
17,e7,9d,7a,45,05,fd,91,e8,6f,31,28,8b,30,c5,ac,62,d9,29,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,dd,4c,cc,92,4a,
4e,90,09,6b,65,49,6a,7e,99,74,f7,4e,26,3f,d3,54,fd,f8,90,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,f5,5a,cb,1c,47,
2b,32,f4,e9,02,6c,fa,fb,1d,47,57,39,b0,dc,9d,8d,0f,8a,c9,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,8b,bf,42,8c,34,
be,33,47,50,93,e5,ab,ec,6a,4e,ab,1c,db,4e,4a,ff,30,4a,55,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:97,20,4e,9a,c7,f1,35,ee,29,f1,df,fe,fe,
9d,b1,3c,97,20,4e,9a,c7,f1,35,ee,ac,0d,e2,27,5d,3a,e7,41,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,a0,d1,2f,f3,4e,
fa,91,78,aa,52,c6,00,84,3c,26,64,b8,99,31,0d,22,0a,6b,81,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,8a,85,a9,3b,cb,
1b,0f,b9,b2,46,9a,e2,1b,fe,1b,94,b7,7b,82,ba,b0,a2,92,f6,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,4c,2b,74,db,c6,
08,c5,3b,37,a4,aa,c3,a6,15,56,0a,19,84,31,ab,c8,30,36,fd,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,d0,ff,9f,0e,e8,
73,0d,53,f8,31,0f,a9,5f,a0,ec,fb,b4,26,d0,7f,32,8a,1e,1e,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,d0,dd,5b,cb,a0,
06,e8,13,05,73,21,dd,54,d8,4a,c5,e8,30,4a,46,12,02,af,3c,6c,43,2d,1e,aa,22,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(832)
c:\program files\SUPERAntiSpyware\SASWINLO.DLL
.
Heure de fin: 2009-09-15 20:21
ComboFix-quarantined-files.txt 2009-09-15 18:21
ComboFix2.txt 2009-09-14 23:44
ComboFix3.txt 2009-09-14 22:43

Avant-CF: 58 741 587 968 octets libres
Après-CF: 58 708 811 776 octets libres

328 --- E O F --- 2009-08-26 22:00
0
Réponse 16 / 36
nddefossez Messages postés 27 Date d'inscription mercredi 7 février 2007 Statut Membre Dernière intervention 21 décembre 2013
15 sept. 2009 à 20:26
Le lancement de l'antivirus en ligne est en cours...
0
Réponse 17 / 36
nddefossez Messages postés 27 Date d'inscription mercredi 7 février 2007 Statut Membre Dernière intervention 21 décembre 2013
16 sept. 2009 à 19:45
Les nouvelles:

Tout d'abord, j'ai reçu un mail des concepteurs d'ELIBAGLA indiquant qu'ils ont intégré mon nouveau virus dans leur outil et ont généré une nouvelle version: 12.90.

Gracias por las muestras de ficheros.
Acabamos de subir al área de utilidades de nuestra web, www.satinfo.es, nueva versión mejorada de la herramienta ELIBAGLA.EXE.
Saludos cordiales,
Dpto técnico

Je me suis empressé de refaire la manipulation complète (confère: jlpjlp, le mardi 15 septembre 2009 à 07:55:43) avec cette nouvelle version.

La nouvelle version ELIBAGLA a en effet détecté et supprimé un certain nombre de fichiers infectés.

J'ai ensuite lancé Bitdefender en ligne qui ne se contente pas de détecter mais aussi de supprimer les virus détectés.
Par contre, en lançant plusieurs fois Bitdefender, j'ai exactement les mêmes messages, comme si Bitdefender était incapable de se débarrasser des virus malgré le message (effacé puis "mis à jour?") à chaque virus détecté.

Voici son rapport Bitdefender (texte traduit du HTML) suivi de ComboFix.


BitDefender Online Scanner

Rapport d'analyse généré à: Wed, Sep 16, 2009 - 19:19:31
Voie d'analyse: C:\;D:\;E:\;F:\;

Statistiques
Temps
00:15:19
Fichiers
37919
Directoires
16160

Secteurs de boot
0

Archives
710

Paquets programmes
1892


Résultats
Virus identifiés
8
Fichiers infectés
8
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
8

Info sur les moteurs

Définition virus
4193740

Version des moteurs
AVCORE v2.1 Windows/i386 11.0.0.26 (Aug 27 2009)

Analyse des plugins
17

Archive des plugins
44

Unpack des plugins
8

E-mail plugins
6

Système plugins
4

Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions

Analyse d'emails

Oui
Analyse des Archives

Oui
Analyser paquets programmes

Oui
Analyse des fichiers

Oui
Analyse de boot

Oui
Fichier analysé

Statut
C:\Documents and Settings\Parents\Mes documents\Réception\Alcohol\Alcohol 120% 198\alcohol.120%(O.S.GR) Auto Loader.exe=>(RAR Sfx o)=>alcohol.120%(O.S.GR).exe

Détecté avec: Application.Generic.100891
C:\Documents and Settings\Parents\Mes documents\Réception\Alcohol\Alcohol 120% 198\alcohol.120%(O.S.GR) Auto Loader.exe=>(RAR Sfx o)=>alcohol.120%(O.S.GR).exe

Echec de la désinfection
C:\Documents and Settings\Parents\Mes documents\Réception\Alcohol\Alcohol 120% 198\alcohol.120%(O.S.GR) Auto Loader.exe=>(RAR Sfx o)=>alcohol.120%(O.S.GR).exe

Supprimé
C:\Documents and Settings\Parents\Mes documents\Réception\Alcohol\Alcohol 120% 198\alcohol.120%(O.S.GR) Auto Loader.exe=>(RAR Sfx o)

Echec de la mise à jour
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>wbhshare.dll

Détecté avec: Adware.Webhancer.I
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>wbhshare.dll

Supprimé
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

Mis à jour
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>Webhdll.dll

Détecté avec: Adware.Webhancer.B
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>Webhdll.dll

Supprimé
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

Mis à jour
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>WhAgent.exe

Détecté avec: Adware.Webhancer.C
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>WhAgent.exe

Supprimé
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

Mis à jour
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whAgent.inf

Détecté avec: Adware.Webhancer.AZ
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whAgent.inf

Supprimé
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

Mis à jour
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whiehlpr.dll

Détecté avec: Adware.Webhancer.AP
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whiehlpr.dll

Supprimé
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

Mis à jour
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whieshm.dll

Détecté avec: Adware.Webhancer.L
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whieshm.dll

Supprimé
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

Mis à jour
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whInstaller.exe

Détecté avec: Adware.Webhancer.AQ
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)=>whInstaller.exe

Supprimé
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349=>(ZIP Sfx s)

Mis à jour
C:\Program Files\Art of Magic\GameSpyArcadeInstaller\ArcadeInstallMAGMAY2108c.EXE=>wise0349

Echec de la mise à jour






ComboFix 09-09-14.02 - Parents 15/09/2009 23:35.6.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1544 [GMT 2:00]
Lancé depuis: c:\documents and settings\Parents\Bureau\KCbag.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-08-15 au 2009-09-15 ))))))))))))))))))))))))))))))))))))
.

2009-09-15 21:40 . 2009-09-15 21:40 53248 ----a-w- c:\temp\catchme.dll
2009-09-15 21:35 . 2009-09-15 21:35 -------- d-----w- c:\temp\WPDNSE
2009-09-15 18:09 . 2009-09-15 18:21 -------- d-----w- C:\KCbag
2009-09-15 00:08 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-09-15 00:07 . 2009-09-15 00:07 -------- d-----w- c:\program files\Panda Security
2009-09-13 01:02 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-13 01:02 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-13 01:02 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\program files\Avira
2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-09-12 22:40 . 2009-09-13 00:58 -------- d-----w- C:\ToolBar SD
2009-09-12 15:37 . 2009-09-12 15:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo
2009-09-12 15:37 . 2009-09-12 15:37 87104 ----a-w- c:\windows\system32\drivers\inspect.sys
2009-09-12 15:37 . 2009-09-12 15:37 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2009-09-12 15:37 . 2009-09-12 15:37 179792 ----a-w- c:\windows\system32\guard32.dll
2009-09-12 15:37 . 2009-09-12 15:37 132168 ----a-w- c:\windows\system32\drivers\cmdguard.sys
2009-09-12 15:37 . 2009-09-12 15:37 -------- d-----w- c:\program files\Comodo
2009-09-12 00:16 . 2009-09-14 23:59 -------- d-----w- C:\FindyKill
2009-09-11 16:17 . 2009-09-12 16:40 -------- d-----w- C:\3CoFi
2009-09-10 19:08 . 2009-09-10 19:08 -------- d-----w- c:\documents and settings\Parents\Application Data\Malwarebytes
2009-09-10 19:08 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 19:08 . 2009-09-10 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-10 19:08 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-10 19:08 . 2009-09-11 16:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-09 20:22 . 2009-09-14 21:36 -------- d-----w- c:\program files\FindyKill
2009-09-06 09:47 . 2009-09-06 09:47 -------- d-----w- c:\documents and settings\Parents\Application Data\Broad Intelligence
2009-09-04 20:39 . 2009-09-04 20:45 -------- d-----w- c:\program files\Alcohol 120
2009-08-31 18:37 . 2009-08-31 18:40 -------- d-----w- c:\documents and settings\Parents\Local Settings\Application Data\Mirillis
2009-08-31 18:13 . 2009-08-31 18:13 -------- d-----w- c:\program files\Splash
2009-08-28 16:04 . 2009-08-28 16:04 -------- d-----w- c:\documents and settings\Parents\Application Data\Panasonic
2009-08-27 19:42 . 2009-08-28 15:43 -------- d-----w- c:\program files\RocketDock
2009-08-20 20:50 . 2009-08-20 20:50 33824 ----a-w- c:\windows\system32\drivers\oreans32.sys
2009-08-20 11:24 . 2009-09-09 18:07 -------- d-----w- c:\program files\Elite Cabal
2009-08-17 19:07 . 2009-08-17 19:07 -------- d-----w- c:\program files\Common Files
2009-08-17 16:04 . 2009-08-18 14:10 -------- d-----w- c:\program files\Cabal

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-15 21:21 . 2009-06-27 11:03 -------- d-----w- c:\program files\Samsung
2009-09-15 21:21 . 2007-11-09 22:50 -------- d-----w- c:\program files\Microsoft ActiveSync
2009-09-14 23:10 . 2001-08-28 13:00 83470 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-14 23:10 . 2001-08-28 13:00 506900 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-14 20:05 . 2006-08-16 20:22 -------- d-----w- c:\program files\eMule
2009-09-13 18:17 . 2009-05-18 22:04 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-12 23:55 . 2009-07-31 21:01 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2009-09-12 18:18 . 2008-04-23 19:44 -------- d-----w- c:\documents and settings\Parents\Application Data\gtk-2.0
2009-09-12 10:39 . 2009-04-11 18:28 -------- d-----w- c:\program files\LeechGet
2009-09-11 22:17 . 2007-07-13 21:18 -------- d-----w- c:\documents and settings\Parents\Application Data\Azureus
2009-09-10 22:30 . 2006-10-06 18:53 -------- d-----w- c:\documents and settings\Parents\Application Data\Mp3tag
2009-09-07 01:27 . 2009-02-12 20:37 -------- d-----w- c:\program files\a-squared Free
2009-09-06 22:09 . 2007-04-19 19:39 -------- d-----w- c:\program files\Cannon Smash
2009-09-06 21:39 . 2009-06-12 22:16 -------- d-----w- c:\documents and settings\Parents\Application Data\ArcSoft
2009-09-06 21:11 . 2009-03-18 16:09 -------- d-----w- c:\program files\Silkroad
2009-09-06 21:10 . 2008-09-09 16:56 13471 ----a-w- c:\documents and settings\All Users\Application Data\xml4.tmp
2009-09-06 21:10 . 2008-05-23 20:58 1801 ----a-w- c:\documents and settings\All Users\Application Data\xml289.tmp
2009-09-06 21:10 . 2008-05-23 20:58 7972 ----a-w- c:\documents and settings\All Users\Application Data\xml286.tmp
2009-09-06 09:44 . 2006-12-28 22:50 -------- d-----w- c:\program files\Ri-li
2009-09-05 18:21 . 2008-04-06 20:36 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-09-04 20:29 . 2008-01-03 23:01 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-09-03 20:10 . 2006-12-14 20:50 -------- d-----w- c:\program files\VisualTaskTips
2009-09-03 20:10 . 2006-12-01 22:51 -------- d-----w- c:\program files\TweakDUN
2009-09-03 20:05 . 2006-10-04 21:25 -------- d-----w- c:\program files\nLite
2009-08-17 22:39 . 2007-01-09 21:30 -------- d-----w- c:\program files\SyncBack
2009-08-17 20:59 . 2006-07-21 15:54 105864 ----a-w- c:\documents and settings\Parents\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-16 16:33 . 2009-08-16 16:33 -------- d-----w- c:\program files\ArcSoft
2009-08-16 16:33 . 2006-07-21 16:24 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-08-16 16:31 . 2009-08-16 16:28 -------- d-----w- c:\program files\Photofun
2009-08-16 15:00 . 2007-01-07 22:20 -------- d-----w- c:\documents and settings\Parents\Application Data\ZoomBrowser EX
2009-08-16 14:59 . 2008-11-04 19:08 -------- d-----w- c:\documents and settings\All Users\Application Data\ZoomBrowser
2009-08-16 14:56 . 2008-10-29 15:09 -------- d-----w- c:\program files\Sweet Home 3D
2009-08-16 14:21 . 2007-03-03 09:51 -------- d-----w- c:\program files\La Marmite du Chef
2009-08-15 20:51 . 2009-08-15 20:51 -------- d-----w- c:\program files\MSBuild
2009-08-15 20:51 . 2009-08-15 20:51 -------- d-----w- c:\program files\Reference Assemblies
2009-08-15 20:46 . 2007-12-31 12:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-08-15 19:20 . 2006-08-13 20:42 -------- d-----w- c:\program files\Java
2009-08-05 09:00 . 2002-08-29 11:44 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-31 19:38 . 2009-07-31 19:38 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Suite
2009-07-31 19:38 . 2009-07-31 19:38 -------- d-----w- c:\documents and settings\Parents\Application Data\PC Suite
2009-07-31 19:02 . 2008-12-27 12:38 -------- d-----w- c:\program files\Microsoft Silverlight
2009-07-25 20:12 . 2009-05-18 21:45 -------- d-----w- c:\program files\SUPER
2009-07-25 03:23 . 2009-01-10 10:29 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:03 . 2002-08-29 11:44 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2006-07-21 15:43 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:57 . 2002-08-29 11:45 915456 ------w- c:\windows\system32\wininet.dll
2009-06-25 08:26 . 2002-08-29 11:44 56832 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:26 . 2002-08-29 11:44 147456 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:26 . 2002-08-29 11:44 736768 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:26 . 2002-08-29 11:44 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-25 08:26 . 2001-08-28 13:00 54272 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:26 . 2002-08-29 11:44 301568 ----a-w- c:\windows\system32\kerberos.dll
2009-06-24 11:18 . 2001-08-28 13:00 92928 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2006-05-03 09:06 . 2008-08-24 10:08 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-05-18 21:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-05-18 21:47 216064 --sh--r- c:\windows\system32\nbDX.dll
.

------- Sigcheck -------

[-] 2006-10-18 20:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
[-] 2006-10-18 20:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\dllcache\mspmsnsv.dll
[-] 2004-08-19 14:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}$BACKUP$\System\MsPMSNSv.dll
[-] 2004-08-19 14:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\ServicePackFiles\i386\mspmsnsv.dll
[-] 2004-08-10 22:45 . A477391B7A8B0A0DAABADB17CF533A4B . 25088 . . [10.0.3790.3646] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-09-14_22.36.42 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-08-28 13:00 . 2009-09-14 21:23 69678 c:\windows\system32\perfc009.dat
+ 2001-08-28 13:00 . 2009-09-14 23:10 69678 c:\windows\system32\perfc009.dat
+ 2001-08-28 13:00 . 2009-09-14 23:10 438214 c:\windows\system32\perfh009.dat
- 2001-08-28 13:00 . 2009-09-14 21:23 438214 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-25 13680640]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-05 18:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft ActiveSync.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft ActiveSync.lnk
backup=c:\windows\pss\Microsoft ActiveSync.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Desktop Search.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Desktop Search.lnk
backup=c:\windows\pss\Windows Desktop Search.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Parents^Menu Démarrer^Programmes^Démarrage^Outil de notification Live Search.lnk]
path=c:\documents and settings\Parents\Menu Démarrer\Programmes\Démarrage\Outil de notification Live Search.lnk
backup=c:\windows\pss\Outil de notification Live Search.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\GridService\\peer.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"=
"c:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=
"c:\\Program Files\\Cabal\\launcher\\update\\ESTdnheadless.exe"=
"c:\\Program Files\\SiSoftware Sandra Lite XII\\RpcAgentSrv.exe"=
"c:\\Program Files\\SiSoftware Sandra Lite XII\\WNt500x86\\RpcSandraSrv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 JAHCI;JAHCI;c:\windows\system32\drivers\JAHCI.sys [21/07/2006 16:54 33280]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [15/09/2009 02:08 28544]
R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [21/07/2006 16:48 45056]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [12/09/2009 17:37 132168]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [12/09/2009 17:37 25160]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [29/02/2008 16:03 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [29/02/2008 16:03 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [13/09/2009 03:02 108289]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [21/07/2006 18:41 28672]
S1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [10/11/2006 15:08 24064]
S3 CAM1690;USB 2.0 Compliance JPEG Video Camera;c:\windows\system32\drivers\cam1690.sys [29/03/2007 17:33 134912]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [23/07/2006 20:39 223232]
S3 CrystalSysInfo;CrystalSysInfo;c:\program files\MediaCoder\SysInfo.sys [25/09/2007 16:59 15152]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [27/06/2009 13:06 36608]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\program files\SiSoftware Sandra Lite XII\RpcAgentSrv.exe [23/05/2008 22:53 98488]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [16/02/2006 16:51 4096]
.
Contenu du dossier 'Tâches planifiées'

2009-09-15 c:\windows\Tasks\Listing.job
- d:\audio\Listing.bat [2004-11-12 16:41]

2007-05-17 c:\windows\Tasks\Sauvegarde musicale.job
- c:\windows\system32\ntbackup.exe [2001-08-28 02:34]

2009-09-14 c:\windows\Tasks\SyncBack Administratif.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-01 c:\windows\Tasks\SyncBack Images.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-07-25 c:\windows\Tasks\SyncBack Installations.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-09 c:\windows\Tasks\SyncBack Jeux de rôle.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-10 c:\windows\Tasks\SyncBack Musiques.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-11 c:\windows\Tasks\SyncBack Pilotes.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-07-25 c:\windows\Tasks\SyncBack Sauvegarde de jeux.job
- c:\program files\SyncBack\SyncBack.exe [2007-01-09 10:00]

2009-09-15 c:\windows\Tasks\User_Feed_Synchronization-{D488B395-9EEE-47D4-BF55-2B2D0F979180}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Connection Wizard,ShellNext = hxxp://www.aliceadsl.fr/
uInternet Settings,ProxyOverride = local
IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Analyser avec LeechGet - file://c:\program files\LeechGet\\Parser.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Télécharger en utilisant l'assistant LeechGet - file://c:\program files\LeechGet\\Wizard.html
IE: Télécharger en utilisant LeechGet - file://c:\program files\LeechGet\\AddUrl.html
Trusted Zone: akamai.net\a248.e
Trusted Zone: bitdefender.com
Trusted Zone: ca-normandie.fr\www
Trusted Zone: kaspersky.com\www
Trusted Zone: netflame.cc\ssl-hints
Trusted Zone: zebulon.fr\www
TCP: {DE16CF88-9DB4-4190-91B6-57630E81D581} = 156.154.70.25,156.154.71.25
TCP: {F64E7FFB-9D33-40B1-B048-2B40CF2AF4C6} = 156.154.70.25,156.154.71.25
FF - ProfilePath - c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT530097&SearchSource=3&q=
FF - prefs.js: browser.startup.homepage - www.kartoo.com
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
FF - component: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - component: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - component: c:\program files\Media Converter for Philips\Internet Video Downloader\Plugin_FireFox\components\nsURLRecordEx.dll
FF - plugin: c:\documents and settings\Parents\Application Data\Mozilla\Firefox\Profiles\eu1459da.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
FF - plugin: c:\documents and settings\Parents\Application Data\Mozilla\plugins\npcoolirisplugin.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\program files\Picasa\npPicasa3.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-15 23:41
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-602162358-1563985344-839522115-1003\Software\UpdateStar\1.0\History\H*a*r*r*y* *P*o*t*t*e*r* *e*t* *l*a* *C*o*u*p*e* *d*e* *F*e*u*"!\0.0.0]
"ProductID"=dword:0007af68
"InstallDate"=""

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:2e,e8,e1,00,eb,16,2b,de,c9,74,d7,95,86,
d2,b2,23,2e,e8,e1,00,eb,16,2b,de,b9,4a,4a,43,09,81,ee,df,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,2b,2f,11,c0,1c,
5d,38,c8,46,47,15,b0,92,4b,c7,ef,04,7b,d7,09,08,ba,f6,a5,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,c9,c0,93,e8,b5,
17,e7,9d,7a,45,05,fd,91,e8,6f,31,28,8b,30,c5,ac,62,d9,29,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,dd,4c,cc,92,4a,
4e,90,09,6b,65,49,6a,7e,99,74,f7,4e,26,3f,d3,54,fd,f8,90,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,f5,5a,cb,1c,47,
2b,32,f4,e9,02,6c,fa,fb,1d,47,57,39,b0,dc,9d,8d,0f,8a,c9,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,8b,bf,42,8c,34,
be,33,47,50,93,e5,ab,ec,6a,4e,ab,1c,db,4e,4a,ff,30,4a,55,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:97,20,4e,9a,c7,f1,35,ee,29,f1,df,fe,fe,
9d,b1,3c,97,20,4e,9a,c7,f1,35,ee,ac,0d,e2,27,5d,3a,e7,41,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,a0,d1,2f,f3,4e,
fa,91,78,aa,52,c6,00,84,3c,26,64,b8,99,31,0d,22,0a,6b,81,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,8a,85,a9,3b,cb,
1b,0f,b9,b2,46,9a,e2,1b,fe,1b,94,b7,7b,82,ba,b0,a2,92,f6,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,4c,2b,74,db,c6,
08,c5,3b,37,a4,aa,c3,a6,15,56,0a,19,84,31,ab,c8,30,36,fd,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,d0,ff,9f,0e,e8,
73,0d,53,f8,31,0f,a9,5f,a0,ec,fb,b4,26,d0,7f,32,8a,1e,1e,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,d0,dd,5b,cb,a0,
06,e8,13,05,73,21,dd,54,d8,4a,c5,e8,30,4a,46,12,02,af,3c,6c,43,2d,1e,aa,22,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(832)
c:\program files\SUPERAntiSpyware\SASWINLO.DLL
.
Heure de fin: 2009-09-15 23:43
ComboFix-quarantined-files.txt 2009-09-15 21:43
ComboFix2.txt 2009-09-15 18:21
ComboFix3.txt 2009-09-14 23:44
ComboFix4.txt 2009-09-14 22:43

Avant-CF: 58 707 927 040 octets libres
Après-CF: 58 670 166 016 octets libres

323 --- E O F --- 2009-08-26 22:00
0
Réponse 18 / 36
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
16 sept. 2009 à 20:17
vire les dossiers alcohol et art of magic .trouvés par bitdefender si là source n'est pas sûr. . Tu as le rapport elibaga? Tu peux remettre un rapport avec là dernière version findykill option 1 . Et dire si encore des soucis ? À plus
0
Réponse 19 / 36
nddefossez Messages postés 27 Date d'inscription mercredi 7 février 2007 Statut Membre Dernière intervention 21 décembre 2013
16 sept. 2009 à 21:45
Bonsoir Jlpjlp,

J'ai viré les dossiers incriminés, quoique surpris car très anciens.
Comme j'ai lancé plusieurs fois Elibagga, je n'ai plus le fichier trace d'origine. Voici le dernier lancé:

(16-9-2009 14:47:8)
EliBagle v12.90 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Septiembre del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):

(16-9-2009 14:47:11)
EliBagle v12.90 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Septiembre del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 23561
Nº Total de Ficheros: 297687
Nº de Ficheros Analizados: 18790
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Voici le rapport Findykill option 1

############################## | FindyKill V5.011 |

# User : Parents (Administrateurs) # BUREAU
# Update on 11/09/2009 by Chiquitine29
# Start at: 21:44:26 | 16/09/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# AMD Athlon(tm) 64 Processor 3500+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# FW : COMODO Firewall[ Enabled ]3.9

# C:\ # Disque fixe local # 233,75 Go (55,42 Go free) [Racine de Bureau] # NTFS
# D:\ # Disque fixe local # 465,76 Go (81,6 Go free) [Données] # NTFS
# E:\ # Disque CD-ROM

############################## | Processus actifs |

################## | C: |

################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |

################## | C:\WINDOWS\system32\drivers |

################## | C:\Documents and Settings\Parents\Application Data |

################## | Temporary Internet Files |

################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"

################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # FindyKill V5.011 ! |


nddefossez
0
Réponse 20 / 36
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
16 sept. 2009 à 22:20
ok fais l'option de nettoyage avec findykill. Ensuite dis nous si tu as encore des soucis
0