Sujet Précédent Sujet Suivant

Virus rustock q...

cymbidium -  
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,

Avg me donne une liste interminable de multiple threat detection qui ressemble à ceci : "C:\Windows\System32\kbiwkmctrxpvyk.dll";"Virus identified Win32/Rustock.Q";"Infected", est ce que je peut m'en sortir avec quelqu'un peut m'aider s'il vous plait?
A voir également:

59 réponses

Précédent
Réponse 41 / 59
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
On va essayer autre chose :

---> Télécharge Gmer sur ton Bureau.

---> Extrais le contenu de l'archive puis renomme gmer.exe en CCM.exe (Le .exe n'est pas forcément visible).

---> Double-clique sur CCM.exe.

---> Onglet "Rootkit/Malware", clique sur "Scan" puis patiente.

---> En fin de traitement, clique sur "Save..." et enregistre sur ton Bureau "gmer.txt".

---> Double-clique sur "gmer.txt", le rapport apparaît, poste-le.
0
Réponse 42 / 59
cymbidium
 
GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-22 01:34:42
Windows 6.0.6002 Service Pack 2
Running: CCM.exe; Driver: C:\ugldipoc.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [74B77817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [74BCA86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [74B7BB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [74B6F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74B775E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [74B6E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [74BA8395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [74B7DA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [74B6FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [74B6FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [74B671CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [74BFCAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [74B9C8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [74B6D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [74B66853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [74B6687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74B72AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
0
Réponse 43 / 59
cymbidium
 
Aprés ce scan et un redemarrage et la nuit, l'explorateur ne plante plus mais impossible d'activer le pare feu de wind je fais un MBAM 2infections(trojan) sont nettoyées aprés redémarrage l'explorateur de wind plante encore...
0
Réponse 44 / 59
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
Tu peux me poster le rapport de MBAM ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 59
cymbidium
 
j'en refais un tout neuf, ce que je remarque c'est que quand je lance un site ( comme ccm ou autres) si je clique sur un lien il me dirige toujours au même endroit " feedonline"..d'autre part combofix me detecte toujours des fichiers avg (infectés?)

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2841

Windows 6.0.6002 Service Pack 2

22/09/2009 12:55:34

mbam-log-2009-09-22 (12-55-34).txt

Type de recherche: Examen rapide

Eléments examinés: 105809

Temps écoulé: 5 minute(s), 57 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\Users\Le niou\AppData\Local\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.

C:\Users\Le niou\protect.dll (Trojan.Agent) -> Delete on reboot.

avant de redemarrer j'ai le message de l'explorateur windows suivant : ( un truc du genre)n'a pas pu enregistrer la memoire car elle n'est pas en mode read..
tout un poeme...
0
Réponse 46 / 59
cymbidium
 
aprés ceci l'explorateur plante et je suis obligée de le réanimer en mode sans echec..
0
Réponse 47 / 59
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
Et si tu supprimes les infections trouvées par Malwarebytes' Anti-Malware en mode sans échec ?
0
Réponse 48 / 59
cymbidium
 
dans la quarantaine? car je crois que le fait de redemarrer efface les tojan..
0
Réponse 49 / 59
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
Je ne parle pas de la quarantaine.
0
Réponse 50 / 59
cymbidium
 
c'est fait j'ai éliminé les deux trojan ( en mode sans echec), ce qui a pour consequence directe de faire planter l'explorateur...je n'y comprends plus rien..
0
Réponse 51 / 59
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
Moi non plus, il y a quelque chose qui m'échappe.
0
Réponse 52 / 59
cymbidium
 
Fichier(s) infecté(s):

C:\Users\Le niou\AppData\Local\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.

C:\Users\Le niou\protect.dll (Trojan.Agent) -> Delete on reboot.

ces deux fichiers sont toujours présents
MBMA ne peut pas les supprimer...y a il d'autres logs qui peuvent les supprimer?
0
Réponse 53 / 59
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
/!\ Seul cymbidium peut suivre cette procédure. /!\

1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :

KillAll::

File::
C:\Users\Le niou\AppData\Local\Temp\nsrbgxod.bak
C:\Users\Le niou\protect.dll

--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.

2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt
0
Réponse 54 / 59
cymbidium
 
du nouveau dans de rapport mbam...

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2847

Windows 6.0.6002 Service Pack 2

23/09/2009 08:44:00

mbam-log-2009-09-23 (08-44-00).txt

Type de recherche: Examen rapide

Eléments examinés: 105982

Temps écoulé: 11 minute(s), 28 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

C:\Windows\System32\calc.dll (Backdoor.Bot) -> Delete on reboot.

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Backdoor.Bot) -> Delete on reboot.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Trojan.Downloader) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\Windows\System32\calc.dll (Backdoor.Bot) -> Delete on reboot.

C:\Users\Le niou\protect.dll (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Users\Le niou\AppData\Local\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.

est ce que je peux ajouter les deux backdoor dans kill all? ils ne veulent pas non plus disparaitre...
0
Réponse 55 / 59
cymbidium
 
J'ai mis CFScript dans combofix voici le scan :

ComboFix 09-09-20.01 - Le niou 23/09/2009 9:29.2.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6002.2.1252.33.1036.18.2037.1342 [GMT 2:00]
Lancé depuis: c:\users\Le niou\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Le niou\Desktop\CFScript.txt
AV: avast! antivirus 4.8.1169 [VPS 000000-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: avast! antivirus 4.8.1169 [VPS 000000-0] *disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: AVG Anti-Virus Free *enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\users\Le niou\AppData\Local\Temp\nsrbgxod.bak"
"c:\users\Le niou\protect.dll"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Common Files\cygupux.scr
c:\program files\Common Files\sikoxagi.bin
c:\programdata\hucozi.vbs
c:\programdata\sowidu.pif
c:\users\Le niou\protect.dll
c:\users\Public\Documents\doveve.bin
c:\users\Public\Documents\kohase.pif
c:\users\Public\Documents\lemuno.reg
c:\users\Public\Documents\sydewiga.com
c:\windows\mevilu.dll
c:\windows\muqiva.bin
c:\windows\qixobynud.sys
c:\windows\system32\7BDF49B28F.dll
c:\windows\system32\config\systemprofile\protect.dll
c:\windows\system32\waxorobu.bin
c:\windows\tyso.vbs
c:\windows\ysapefug.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-08-23 au 2009-09-23 ))))))))))))))))))))))))))))))))))))
.

2009-09-23 07:45 . 2009-09-23 07:51 -------- d-----w- c:\users\Le niou\AppData\Local\temp
2009-09-23 07:45 . 2009-09-23 07:45 -------- d-----w- c:\users\Public\AppData\Local\temp
2009-09-23 07:45 . 2009-09-23 07:45 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-09-23 07:45 . 2009-09-23 07:45 -------- d-----w- c:\users\Carine\AppData\Local\temp
2009-09-23 07:09 . 2009-09-23 07:23 22528 --sha-w- c:\windows\system32\calc.dll
2009-09-22 19:40 . 2009-09-22 19:40 -------- d-----w- c:\users\Carine\AppData\Roaming\Malwarebytes
2009-09-21 20:39 . 2009-09-21 20:39 -------- d-----w- c:\users\Le niou\AppData\Local\VirtualStore
2009-09-21 15:34 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-21 15:34 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-21 15:34 . 2009-09-21 15:34 -------- d-----w- c:\programdata\Avira
2009-09-21 15:34 . 2009-09-21 15:34 -------- d-----w- c:\program files\Avira
2009-09-21 14:27 . 2009-09-21 14:27 12261 ----a-w- c:\program files\Common Files\uxumodi.dat
2009-09-21 14:27 . 2009-09-21 14:27 11012 ----a-w- c:\windows\system32\wemipy.dat
2009-09-20 20:09 . 2009-09-20 20:09 -------- d-----w- c:\users\Le niou\AppData\Roaming\Big Fish Games
2009-09-20 20:07 . 2009-09-20 20:07 -------- d-----w- c:\program files\Games
2009-09-20 18:56 . 2009-09-20 19:00 -------- d-----w- c:\windows\system32\ca-ES
2009-09-20 18:56 . 2009-09-20 19:00 -------- d-----w- c:\windows\system32\eu-ES
2009-09-20 18:56 . 2009-09-20 19:00 -------- d-----w- c:\windows\system32\vi-VN
2009-09-20 14:08 . 2009-09-20 14:08 -------- d-----w- c:\windows\system32\EventProviders
2009-09-20 14:03 . 2009-09-20 14:03 -------- d-----w- c:\users\Le niou\AppData\Roaming\Malwarebytes
2009-09-20 14:03 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-20 14:02 . 2009-09-20 14:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-20 14:02 . 2009-09-20 14:02 -------- d-----w- c:\programdata\Malwarebytes
2009-09-20 14:02 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-20 11:15 . 2009-04-11 05:03 12240896 ----a-w- c:\windows\system32\NlsLexicons0007.dll
2009-09-20 11:15 . 2009-04-11 06:28 1081344 ----a-w- c:\windows\system32\SLCExt.dll
2009-09-20 11:15 . 2009-04-11 06:27 3408896 ----a-w- c:\windows\system32\SLsvc.exe
2009-09-20 11:15 . 2009-04-11 06:28 2134528 ----a-w- c:\windows\system32\FunctionDiscoveryFolder.dll
2009-09-20 11:15 . 2009-04-11 06:27 65536 ----a-w- c:\windows\system32\DevicePairingWizard.exe
2009-09-20 11:15 . 2009-04-11 05:03 2644480 ----a-w- c:\windows\system32\NlsLexicons0009.dll
2009-09-20 11:15 . 2009-04-11 06:28 1480704 ----a-w- c:\windows\system32\mssrch.dll
2009-09-20 11:15 . 2009-04-11 02:52 684032 ----a-w- c:\windows\system32\drivers\spsys.sys
2009-09-20 11:15 . 2009-04-11 06:28 1576960 ----a-w- c:\windows\system32\tquery.dll
2009-09-20 11:13 . 2009-04-11 06:28 1316864 ----a-w- c:\windows\system32\ole32.dll
2009-09-20 11:12 . 2009-04-11 06:28 385536 ----a-w- c:\windows\system32\vds.exe
2009-09-20 11:11 . 2009-04-11 06:28 876032 ----a-w- c:\windows\system32\wer.dll
2009-09-20 11:10 . 2009-04-11 06:22 7168 ----a-w- c:\windows\system32\f3ahvoas.dll
2009-09-20 11:10 . 2009-04-11 04:27 2560 ----a-w- c:\windows\system32\msimsg.dll
2009-09-20 11:10 . 2009-04-11 06:28 83968 ----a-w- c:\windows\system32\wbem\wmiutils.dll
2009-09-20 11:10 . 2009-04-11 06:28 744448 ----a-w- c:\windows\system32\wbem\wbemcore.dll
2009-09-20 11:10 . 2009-04-11 06:28 30208 ----a-w- c:\windows\system32\wbem\wbemprox.dll
2009-09-20 11:10 . 2009-04-11 06:28 265728 ----a-w- c:\windows\system32\wbem\repdrvfs.dll
2009-09-20 11:10 . 2009-04-11 06:28 189440 ----a-w- c:\windows\system32\wbem\mofd.dll
2009-09-20 11:10 . 2009-04-11 06:28 614912 ----a-w- c:\windows\system32\wbem\fastprox.dll
2009-09-20 11:10 . 2009-04-11 06:28 265728 ----a-w- c:\windows\system32\wbem\esscli.dll
2009-09-20 11:10 . 2009-04-11 06:28 705536 ----a-w- c:\windows\system32\SmiEngine.dll
2009-09-20 11:09 . 2009-04-11 06:28 218624 ----a-w- c:\windows\system32\wdscore.dll
2009-09-20 11:09 . 2009-04-11 06:27 130560 ----a-w- c:\windows\system32\PkgMgr.exe
2009-09-20 11:09 . 2009-04-11 06:28 247808 ----a-w- c:\windows\system32\drvstore.dll
2009-09-19 17:00 . 2009-03-08 11:33 420352 ----a-w- c:\windows\system32\vbscript.dll
2009-09-19 17:00 . 2009-03-08 11:32 169472 ----a-w- c:\windows\system32\iexpress.exe
2009-09-19 17:00 . 2009-03-08 11:31 45568 ----a-w- c:\windows\system32\mshta.exe
2009-09-19 17:00 . 2009-03-08 11:33 109568 ----a-w- c:\windows\system32\PDMSetup.exe
2009-09-19 17:00 . 2009-03-08 11:33 107520 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2009-09-19 17:00 . 2009-03-08 11:33 107008 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2009-09-19 17:00 . 2009-03-08 11:33 103936 ----a-w- c:\windows\system32\SetDepNx.exe
2009-09-19 12:55 . 2009-08-14 16:27 904776 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-09-19 12:55 . 2009-08-14 13:48 105984 ----a-w- c:\windows\system32\netiohlp.dll
2009-09-19 12:55 . 2009-08-14 13:48 30720 ----a-w- c:\windows\system32\drivers\tcpipreg.sys
2009-09-19 12:55 . 2009-08-14 13:49 9728 ----a-w- c:\windows\system32\TCPSVCS.EXE
2009-09-19 12:55 . 2009-08-14 13:49 27136 ----a-w- c:\windows\system32\NETSTAT.EXE
2009-09-19 12:55 . 2009-08-14 13:49 19968 ----a-w- c:\windows\system32\ARP.EXE
2009-09-19 12:55 . 2009-08-14 13:49 10240 ----a-w- c:\windows\system32\finger.exe
2009-09-19 12:55 . 2009-08-14 13:49 17920 ----a-w- c:\windows\system32\ROUTE.EXE
2009-09-19 12:55 . 2009-08-14 13:49 11264 ----a-w- c:\windows\system32\MRINFO.EXE
2009-09-19 12:55 . 2009-08-14 13:49 8704 ----a-w- c:\windows\system32\HOSTNAME.EXE
2009-09-19 12:55 . 2009-08-14 15:53 17920 ----a-w- c:\windows\system32\netevent.dll
2009-09-19 12:50 . 2009-07-11 19:01 513536 ----a-w- c:\windows\system32\wlansvc.dll
2009-09-19 12:50 . 2009-04-11 06:28 68096 ----a-w- c:\windows\system32\wlanhlp.dll
2009-09-19 12:50 . 2009-07-11 19:01 293376 ----a-w- c:\windows\system32\wlanmsm.dll
2009-09-19 12:50 . 2009-07-11 17:03 127488 ----a-w- c:\windows\system32\L2SecHC.dll
2009-09-19 12:50 . 2009-07-11 19:01 302592 ----a-w- c:\windows\system32\wlansec.dll
2009-09-19 12:50 . 2009-07-11 19:01 65024 ----a-w- c:\windows\system32\wlanapi.dll
2009-09-19 12:44 . 2009-06-10 11:41 2868224 ----a-w- c:\windows\system32\mf.dll
2009-09-19 12:44 . 2009-04-11 06:27 53248 ----a-w- c:\windows\system32\rrinstaller.exe
2009-09-19 12:44 . 2009-04-11 06:28 98816 ----a-w- c:\windows\system32\mfps.dll
2009-09-19 12:44 . 2009-04-11 06:27 24576 ----a-w- c:\windows\system32\mfpmp.exe
2009-09-19 12:44 . 2009-04-11 04:54 2048 ----a-w- c:\windows\system32\mferror.dll
2009-09-19 12:43 . 2009-08-29 00:14 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2009-09-19 12:42 . 2009-08-29 00:27 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2009-09-19 12:35 . 2009-09-19 12:38 -------- d-----w- c:\program files\Glary Utilities Portable
2009-09-09 21:01 . 2009-09-21 18:21 -------- d-----w- c:\program files\Dream Chronicles
2009-09-05 19:52 . 2009-09-05 19:52 -------- d-----w- c:\programdata\Playrix Entertainment
2009-09-05 19:48 . 2009-09-05 19:48 -------- d-----w- c:\windows\4 Elements
2009-08-28 22:13 . 2009-08-28 22:13 -------- d-----w- c:\users\Le niou\AppData\Local\TimeParadox
2009-08-28 22:10 . 2009-09-18 18:25 -------- d-----w- c:\program files\Mortimer Beckett and the Time Paradox
2009-08-28 22:10 . 2009-08-28 22:10 -------- d-----w- c:\windows\Mortimer Beckett and the Time Paradox
2009-08-26 18:37 . 2009-08-26 18:40 -------- d-----w- c:\users\recupération d'appc
2009-08-26 12:24 . 2009-06-22 10:09 2048 ----a-w- c:\windows\system32\tzres.dll
2009-08-26 06:14 . 2008-07-27 18:03 41984 ----a-w- c:\windows\system32\netfxperf.dll
2009-08-26 06:03 . 2009-06-15 14:52 1259008 ----a-w- c:\windows\system32\lsasrv.dll
2009-08-26 06:03 . 2009-06-15 14:53 218624 ----a-w- c:\windows\system32\msv1_0.dll
2009-08-26 06:03 . 2009-06-15 14:52 499712 ----a-w- c:\windows\system32\kerberos.dll
2009-08-26 06:03 . 2009-06-15 14:54 175104 ----a-w- c:\windows\system32\wdigest.dll
2009-08-26 06:03 . 2009-06-15 14:53 270848 ----a-w- c:\windows\system32\schannel.dll
2009-08-26 06:03 . 2009-06-15 23:15 439864 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-08-26 06:03 . 2009-06-15 14:53 72704 ----a-w- c:\windows\system32\secur32.dll
2009-08-26 06:03 . 2009-06-15 12:48 9728 ----a-w- c:\windows\system32\lsass.exe
2009-08-26 05:56 . 2009-06-15 14:53 156672 ----a-w- c:\windows\system32\t2embed.dll
2009-08-26 05:56 . 2009-06-15 14:52 72704 ----a-w- c:\windows\system32\fontsub.dll
2009-08-26 05:56 . 2009-06-15 12:42 289792 ----a-w- c:\windows\system32\atmfd.dll
2009-08-26 05:56 . 2009-06-15 14:52 23552 ----a-w- c:\windows\system32\lpk.dll
2009-08-26 05:56 . 2009-06-15 14:51 10240 ----a-w- c:\windows\system32\dciman32.dll
2009-08-26 05:56 . 2009-04-11 06:28 34304 ----a-w- c:\windows\system32\atmlib.dll
2009-08-26 05:56 . 2009-04-21 11:39 2034688 ----a-w- c:\windows\system32\win32k.sys
2009-08-26 05:56 . 2009-07-17 13:54 71680 ----a-w- c:\windows\system32\atl.dll
2009-08-26 05:56 . 2009-06-10 11:42 160256 ----a-w- c:\windows\system32\wkssvc.dll
2009-08-26 05:55 . 2009-06-04 12:07 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-08-26 05:55 . 2009-04-11 06:28 53248 ----a-w- c:\windows\system32\tsgqec.dll
2009-08-26 05:55 . 2009-04-11 06:28 136192 ----a-w- c:\windows\system32\aaclient.dll
2009-08-26 05:55 . 2009-04-23 12:14 623616 ----a-w- c:\windows\system32\localspl.dll
2009-08-26 05:55 . 2009-06-10 11:38 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-08-26 05:55 . 2009-04-11 06:28 1696768 ----a-w- c:\windows\system32\gameux.dll
2009-08-26 05:54 . 2009-07-15 12:39 313344 ----a-w- c:\windows\system32\wmpdxm.dll
2009-08-26 05:54 . 2009-07-15 12:39 7680 ----a-w- c:\windows\system32\spwmp.dll
2009-08-26 05:54 . 2009-07-15 12:40 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-08-26 05:54 . 2009-07-15 12:39 4096 ----a-w- c:\windows\system32\dxmasf.dll
2009-08-26 05:53 . 2009-04-23 12:15 784896 ----a-w- c:\windows\system32\rpcrt4.dll
2009-08-24 14:26 . 2009-08-24 14:26 16 ----a-w- c:\windows\pxydb.dat
2009-08-24 12:36 . 2009-08-24 12:36 -------- d-----w- c:\users\Le niou\AppData\Roaming\Princess Isabella

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-23 07:52 . 2009-09-23 07:52 22528 --sha-w- c:\users\Le niou\protect.dll
2009-09-21 15:33 . 2006-11-02 15:45 672470 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-21 15:33 . 2006-11-02 15:45 124400 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-21 12:51 . 2008-05-07 20:17 -------- d-----w- c:\programdata\avg8
2009-09-20 19:01 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Calendar
2009-09-20 19:01 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-09-20 19:01 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Sidebar
2009-09-20 19:01 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Photo Gallery
2009-09-20 19:01 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Defender
2009-09-20 00:00 . 2009-02-23 08:29 139648 ----a-w- c:\users\Le niou\AppData\Local\GDIPFONTCACHEV1.DAT
2009-09-19 17:19 . 2008-03-30 20:57 -------- d-----w- c:\programdata\Microsoft Help
2009-09-19 15:19 . 2008-03-30 21:35 -------- d-----w- c:\program files\Microsoft Works
2009-09-18 19:22 . 2008-09-20 20:57 1248 --sha-w- C:\t00fao30.sys
2009-09-18 18:29 . 2007-10-08 07:04 -------- d-----w- c:\program files\BitTorrent
2009-09-18 18:27 . 2007-11-20 20:04 -------- d-----w- c:\program files\Windows Live
2009-09-18 18:24 . 2009-01-22 19:42 -------- d-----w- c:\program files\Magic Encyclopedia First Story
2009-09-13 18:26 . 2009-03-10 16:55 -------- d-----w- c:\program files\TuxPaint
2009-09-09 21:03 . 2009-05-21 17:56 -------- d-----w- c:\users\Le niou\AppData\Roaming\PlayFirst
2009-09-09 21:03 . 2009-05-21 17:54 -------- d-----w- c:\programdata\PlayFirst
2009-09-09 18:37 . 2007-09-16 21:20 -------- d-----w- c:\program files\YDKJWIN
2009-09-09 18:28 . 2009-04-21 13:13 -------- d-----w- c:\program files\Microids
2009-09-09 18:22 . 2009-08-03 20:46 -------- d-----w- c:\program files\GameHouse
2009-09-05 21:42 . 2007-12-15 09:49 -------- d-----w- c:\program files\Zylom Games
2009-09-05 21:39 . 2007-04-25 04:22 -------- d-----w- c:\program files\Google
2009-08-22 19:31 . 2009-04-11 15:34 -------- d-----w- c:\users\Le niou\AppData\Roaming\BitTorrent
2009-08-18 20:47 . 2009-08-18 20:47 -------- d-----w- c:\users\Le niou\AppData\Roaming\PoBros
2009-08-18 20:47 . 2009-08-18 20:47 -------- d-----w- c:\programdata\PoBros
2009-08-16 20:45 . 2008-10-09 07:09 952 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-08-14 04:58 . 2009-09-20 05:40 7396 ----a-w- c:\windows\system32\drivers\pctcore.cat
2009-08-10 22:53 . 2009-08-10 22:53 -------- d-----w- c:\users\Le niou\AppData\Roaming\Games
2009-08-10 21:52 . 2009-08-10 21:52 -------- d-----w- c:\users\Le niou\AppData\Roaming\SulusGames
2009-08-10 21:52 . 2009-08-10 21:52 -------- d-----w- c:\programdata\SulusGames
2009-08-09 13:18 . 2009-08-09 13:18 18015723 ----a-w- c:\programdata\vlc-1.0.1-win32.exe
2009-08-09 13:18 . 2009-08-09 13:18 18015723 ----a-w- c:\programdata\vlc-1.0.1-win32.exe
2009-08-09 13:17 . 2009-04-02 07:04 -------- d-----w- c:\users\Le niou\AppData\Roaming\dvdcss
2009-08-06 22:37 . 2009-08-06 22:37 -------- d-----w- c:\program files\ReflexiveArcade
2009-08-06 21:32 . 2009-08-06 21:32 -------- d-----w- c:\users\Le niou\AppData\Roaming\SunRay Games
2009-08-03 20:46 . 2009-08-03 20:46 -------- d-----w- c:\program files\Fever Frenzy
2009-07-28 13:13 . 2009-07-28 13:13 -------- d-----w- c:\users\Le niou\AppData\Roaming\Boolat Games
2009-07-28 13:13 . 2009-05-20 21:59 -------- d-----w- c:\users\Le niou\AppData\Roaming\Zylom
2009-07-21 21:52 . 2009-09-19 17:04 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-21 21:47 . 2009-09-19 17:04 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-07-21 21:47 . 2009-09-19 17:04 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-07-21 20:13 . 2009-09-19 17:04 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2008-01-24 14:05 . 2008-01-24 14:05 2293848 ----a-w- c:\program files\FLV PlayerFCSetup.exe
2008-01-24 14:03 . 2008-01-24 14:03 411248 ----a-w- c:\program files\FLV PlayerRCSetup.exe
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2007-09-04 20:18 . 2007-09-04 20:18 22 --sha-w- c:\windows\SMINST\HPCD.sys
2008-10-14 13:04 . 2008-10-09 07:09 88 --sh--r- c:\windows\System32\8FB249DF7B.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"calc"="c:\users\LENIOU~1\protect.dll" [2009-09-23 22528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 472776]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-10 317128]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-03-30 198160]
"calc"="c:\windows\system32\calc.dll" [2009-09-23 22528]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):cb,d4,cd,e0,25,3a,ca,01

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{820AD7AD-646A-470A-AB90-4E71EC60A71F}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"{BDCAA057-FCB6-47B9-86C2-6AFD264E7E9F}"= c:\program files\HP\QuickPlay\QP.exe:Quick Play
"{50C8CAE0-568C-49E4-B238-A763090DCD92}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program
"TCP Query User{AA34AAE8-1F20-4B68-A592-6F3FF19B8C9C}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{FDEFD7E2-F8EC-43C9-B837-657664B4E554}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"{955F941B-0B84-4A08-841F-CE8960DF4D33}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{64DC74A7-5314-4A8A-AEB1-D1A86989836D}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{6280D2F7-1417-4590-A626-3B1355826808}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{3DB5FA07-275C-4B24-9B35-AD69823A5200}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{7EB26A9F-B5FC-4295-8DBC-9EA8D0A6841A}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{1E5047E4-FE92-436A-B59A-6DEBE2CE5ED1}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"TCP Query User{D983164A-450F-4B37-B30E-9EC8DCB07559}c:\\program files\\bittorrent\\bittorrent.exe"= UDP:c:\program files\bittorrent\bittorrent.exe:bittorrent
"UDP Query User{F58D5CCC-EC8C-4EFD-BBB1-BA273A50C238}c:\\program files\\bittorrent\\bittorrent.exe"= TCP:c:\program files\bittorrent\bittorrent.exe:bittorrent
"TCP Query User{170CABE1-ED01-433A-9CBA-D70DBD3DC333}c:\\program files\\veoh networks\\veoh\\veohclient.exe"= UDP:c:\program files\veoh networks\veoh\veohclient.exe:Veoh Client
"UDP Query User{3A749D04-FD3F-4BD0-93F7-DD040AA34D3A}c:\\program files\\veoh networks\\veoh\\veohclient.exe"= TCP:c:\program files\veoh networks\veoh\veohclient.exe:Veoh Client
"{A9394473-C4B9-4B5E-9191-A8E37AC2252D}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{B9C20D15-1FB4-4A32-BDAD-FC251D6FE402}c:\\program files\\kyodai mahjongg 2006\\kmj.exe"= UDP:c:\program files\kyodai mahjongg 2006\kmj.exe:Kyodai Mahjongg
"UDP Query User{02D2BB05-FB77-437F-8983-1CEC61FE6834}c:\\program files\\kyodai mahjongg 2006\\kmj.exe"= TCP:c:\program files\kyodai mahjongg 2006\kmj.exe:Kyodai Mahjongg
"TCP Query User{BC34C011-50D4-4CAC-BA50-5F160899C0B1}c:\\program files\\real\\realplayer\\realplay.exe"= UDP:c:\program files\real\realplayer\realplay.exe:RealPlayer
"UDP Query User{7D8BA62F-E544-4A79-A683-60C0F38EEA83}c:\\program files\\real\\realplayer\\realplay.exe"= TCP:c:\program files\real\realplayer\realplay.exe:RealPlayer
"{0D4FAFAC-5684-4E3F-BFCB-A2D3BCB24E10}"= Disabled:UDP:c:\program files\Joost\xulrunner\tvprunner.exe:tvprunner
"{0BE3AF84-7BC7-4332-9202-7FFE41F23D86}"= Disabled:TCP:c:\program files\Joost\xulrunner\tvprunner.exe:tvprunner
"TCP Query User{B5E0AC24-0992-462D-9178-ADCA0ED2F8E3}c:\\programdata\\kaspersky lab setup files\\kaspersky internet security 7.0.1.325\\english\\setup.exe"= UDP:c:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\english\setup.exe:Kaspersky Internet Security 7.0 Setup
"UDP Query User{F849D374-FEFB-4B5C-A03B-11E7B1B752E1}c:\\programdata\\kaspersky lab setup files\\kaspersky internet security 7.0.1.325\\english\\setup.exe"= TCP:c:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\english\setup.exe:Kaspersky Internet Security 7.0 Setup
"{53924CA3-DE2B-4A1A-82F4-07288E1EBE21}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{3C0043BC-BAC4-4C54-9796-100FCB902305}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{17790523-9483-41FA-B633-A7AE7CF2B062}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{6102FF67-9505-4DCC-AFF5-EB299D5D71C3}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{46BCCA37-665E-4165-8737-CCF00B975DFC}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{0672D43D-FB2E-45DD-A800-B98A4C63B039}c:\\program files\\macromedia\\flash mx\\flash.exe"= UDP:c:\program files\macromedia\flash mx\flash.exe:Flash 6.0 r25
"UDP Query User{2C1D2DB8-3DCB-4EAE-BDD7-94E15A63509F}c:\\program files\\macromedia\\flash mx\\flash.exe"= TCP:c:\program files\macromedia\flash mx\flash.exe:Flash 6.0 r25
"TCP Query User{B02F8C11-D5BF-42E2-8A35-BEBDC0762EAF}c:\\wamp\\bin\\apache\\apache2.2.8\\bin\\httpd.exe"= UDP:c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe:Apache HTTP Server
"UDP Query User{8EB94F95-D084-4BA8-BF6F-51D0E1A93E59}c:\\wamp\\bin\\apache\\apache2.2.8\\bin\\httpd.exe"= TCP:c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe:Apache HTTP Server
"TCP Query User{7E37520F-E2D6-46AA-91B0-74FA202F3EA5}c:\\program files\\macromedia\\dreamweaver mx\\dreamweaver.exe"= UDP:c:\program files\macromedia\dreamweaver mx\dreamweaver.exe:Dreamweaver MX
"UDP Query User{FE537678-3783-415F-B1B4-F6256D12FE5C}c:\\program files\\macromedia\\dreamweaver mx\\dreamweaver.exe"= TCP:c:\program files\macromedia\dreamweaver mx\dreamweaver.exe:Dreamweaver MX
"TCP Query User{1C3D0307-B8E6-4E39-B79E-F711D46E01AC}c:\\program files\\macromedia\\fireworks mx\\fireworks.exe"= UDP:c:\program files\macromedia\fireworks mx\fireworks.exe:Fireworks MX
"UDP Query User{D5CBFEDA-157F-40AF-B814-C930E9EA96D8}c:\\program files\\macromedia\\fireworks mx\\fireworks.exe"= TCP:c:\program files\macromedia\fireworks mx\fireworks.exe:Fireworks MX
"{A95C538C-7851-4231-BFB6-872563C83703}"= Disabled:c:\program files\AVG\AVG8\avgupd.exe:avgupd.exe
"{593FA17D-2211-405D-B065-9FEC97879349}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{93C1E7EE-EDAB-41AD-95FC-B5F2975FB334}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{A50BC660-9ABE-43A5-B455-D0E9EBED0A6B}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{A22B3427-4C1C-45B2-9040-E340FA14FE52}"= UDP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player
"{AC54C4BE-F943-409D-8383-F189ECF67D40}"= TCP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\BitTorrent\\bittorrent.exe"= c:\program files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [02/04/2008 00:07 75856]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/09/2009 17:34 108289]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [02/04/2008 00:07 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [05/09/2007 01:52 50768]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\drivers\ASPI32.SYS [25/03/2008 21:05 84832]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenu du dossier 'Tâches planifiées'

2009-09-23 c:\windows\Tasks\User_Feed_Synchronization-{73532DB2-9D01-4C1D-B45A-6400368D4BA1}.job
- c:\windows\system32\msfeedssync.exe [2009-09-19 20:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} - hxxp://lads.myspace.com/upload/MySpaceUploader2.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game02.zylom.com/activex/zylomgamesplayer.cab
FF - ProfilePath -
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Run-calc - c:\windows\system32\config\SYSTEM~1\protect.dll

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-23 09:50
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\audiodg.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\System32\PSIService.exe
c:\windows\System32\drivers\XAudio.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\igfxsrvc.exe
c:\windows\System32\wbem\unsecapp.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\System32\WerFault.exe
.
**************************************************************************
.
Heure de fin: 2009-09-23 10:01 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-09-23 08:01
ComboFix2.txt 2009-09-21 14:18

Avant-CF: 35 701 755 904 octets libres
Après-CF: 35 562 008 576 octets libres

355 --- E O F --- 2009-09-22 17:40
0
Réponse 56 / 59
cymbidium
 
aprés deux mbam voici le rapport final ( les fichiers sont toujours là...c'est desesperant)

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2847

Windows 6.0.6002 Service Pack 2

23/09/2009 13:15:13

mbam-log-2009-09-23 (13-15-13).txt

Type de recherche: Examen rapide

Eléments examinés: 105858

Temps écoulé: 9 minute(s), 40 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

C:\Users\Le niou\protect.dll (Backdoor.Bot) -> Delete on reboot.

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Backdoor.Bot) -> Delete on reboot.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Trojan.Downloader) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\Users\Le niou\protect.dll (Backdoor.Bot) -> Delete on reboot.

C:\Windows\System32\calc.dll (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Users\Le niou\AppData\Local\temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.
0
Réponse 57 / 59
cymbidium
 
C:\Users\Le niou\protect.dll (Backdoor.Bot)

C:\Users\Le niou\AppData\Local\temp\nsrbgxod.bak(Trojan.Agent)

sont impossibles à enlever..
0
Réponse 58 / 59
cymbidium
 
Est ce qu'il ne me reste plus que le formatage?
0
Réponse 59 / 59
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
--> Télécharge Dr.Web CureIt! sur ton Bureau.
--> Double-clique sur drweb-cureit.exe et clique sur Commencer le scan.
--> Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
--> Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration.
--> Choisis l'onglet Scanner, et décoche Analyse heuristique.
--> De retour à la fenêtre principale : choisis Analyse complète.
--> Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la.
--> Clique Oui pour Tout si un fichier est détecté.
--> A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, clique sur Quarantaine.
--> Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport.
--> Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
--> Ferme Dr.Web CureIt!
--> Redémarre ton ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
--> Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

NB : Dr.Web en version gratuite est un scanner à la demande et n'entre pas en conflit avec ton antivirus résident. Tu pourras finalement supprimer Dr.Web à la fin des manipulations.
0

Discussions similaires

A quoi sert ce boitier ?
regis5492 -
brupala -

7 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Touche a et q inversé
kingking62 -
LiliBert -

8 réponses
clavier passé en qwerty
hulkhogan -
Dy -

40 réponses
le A devient Q, le Z devient W
vrp74 -
Lacrim -

14 réponses