Sujet Précédent Sujet Suivant

Win32/alureon.gen!U

amorynesles -  
 amorynesles -
Bonjour,

Je précise être un novice en matière informatique.
Cecla dit, j'ai parcouru nombre de forums afin de régler mon problème, mais n'ayant pas réussi à régler mon problème seul (avec différents outils), je me tourne vers vous.
J'ai utilisé malwarebyte's (qui ne voit rien en mode complet) et d'autres logiciles comparables, rien n'y fait.
Mon antivirus (la suite avg, dont je suis très content au demeurant car complet et puissant) détecte un trojan ("agent r_or") dès que le windows defender se met en route.Je le met en quarantaine, puis le supprime.Dans le même temps, windows defender termine son analyse et m'indique qu'un danger grave menace mon pc (win32/alureon.gen!U).Je le supprime avec ce même windows defender, sans difficultés.
Puis, pour finir, (et c'est nouveau depuis l'install de malwarebyte's anti-malware), AVG se "réveille" à nouveau pour m'indiquer qu'un trojan s'est fixé sur l'exécutable de malwarebyte's........................que je supprime également sans problème.
Le souci étant que chaque jour, voir chaque heure, ce scénario se répéte de facon immuable !!
Je deviens fou.D'autre part, j'ai bien le symptome typique de ce trojan (redirection aléatoire que ce soit pour firefox, opera, ie ou k-méléon).
Cela m'inquiète d'autant plus que je bosse avec ce pc (manip bancaires, CB, etc...).
L'antirookit (de la suite avg) m'indique 2 anomalies qu'il ne peut pas traiter:
Rootkits
Fichier;"Infection";"Résultat"
C:\Windows\System32\Drivers\a9lv4yez.SYS;"Pilote masqué";"L'objet est masqué"
C:\Windows\System32\Drivers\amxmy2mm.SYS;"Pilote masqué";"L'objet est masqué"
J'ai dl combofix (dont je ne me suis pas servi) et GMER (qui m'a fait planté, puis relancé).
J'ai également Hijackthis dont j'ai fait analysé le rapport via ce site:
http://www.hijackthis.de/fr#anl
Rien d'anormal apparemment...
Bref, voici mon log, merci de votre future aide:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:07, on 15/11/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
H:\Program files\Java\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
H:\Program files\AVG\avgtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
H:\Program files\Malware\Malwarebytes' Anti-Malware\mbam.exe
H:\Program files\K-méléon\k-meleon.exe
H:\Program files\Mozilla\firefox.exe
H:\Program files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - *{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - H:\Program files\AVG\avgssie.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program files\Java\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program files\Java\bin\jp2ssv.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program files\Java\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundTray] C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AVG8_TRAY] H:\PROGRA~1\AVG\avgtray.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "H:\Program files\Malware\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\OFFICE~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\OFFICE~1\Office12\REFIEBAR.DLL
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF6A10E1-4615-4649-9363-7A50A81F34A1}: NameServer = 192.168.1.1,80.10.246.2
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - H:\Program files\AVG\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - H:\PROGRA~1\AVG\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - H:\PROGRA~1\AVG\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - H:\Program files\Alcohol\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
A voir également:

9 réponses

Réponse 1 / 9
amorynesles
 
up
0
Réponse 2 / 9
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Bonjour,

Effectivement, le rapport ne montre pas d'infection.
Par contre, les symptômes que tu indiques me font penser à une infection Virut (si c'est le cas, le formatage sera la seule solution)... On va voir si MalwareBytes le confirme ou pas :

• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

0
Réponse 3 / 9
amorynesles
 
Tout d'abord, merci de t'être penché sur le problème.
Pour précision, je supprime chaque fois que je lance un navigateur, le malware en question (win32/alureon.gen!U), il n'apparait donc plus dans malwarebyte's.
Voici le log quand même:
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3174
Windows 6.0.6002 Service Pack 2

15/11/2009 17:49:23
mbam-log-2009-11-15 (17-49-23).txt

Type de recherche: Examen rapide
Eléments examinés: 96747
Temps écoulé: 7 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

D'autre part, j'ai lancé Sysprot qui repère 5 anomalies (en rouge) uniquement dans l'onglet "Kernel modules".
Je ne sais pas ce qui est normal ou infecté: (je ne te mets que les 5 lignes en rouge)

Module Name: \SystemRoot\System32\Drivers\a2mccpiw.SYS
Service Name: ---
Module Base: 8BF71000
Module End: 8BFD7000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\a74g44j9.SYS
Service Name: ---
Module Base: 8838C000
Module End: 883F4000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_dumpata.sys
Service Name: ---
Module Base: 8DDE1000
Module End: 8DDEC000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: 8DDEC000
Module End: 8DDF4000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_dumpfve.sys
Service Name: ---
Module Base: 8DBEE000
Module End: 8DBFF000
Hidden: Yes

Encore merci.
0
Réponse 4 / 9
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
A la prochaine détection, choisis "Ignorer". Puis analyse le fichier détecté comme ceci :

• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide :
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

0
amorynesles
 
Le problème, c'est que seul windows defender me détecte win32/alureon.gen!U.
J'ai fait le test à l'instant, j'ai re-scanné avec malware, rien.
Dans la foulée, j'ai lancé une analyse avec windows defender, et là, comme d'habitude après l'ouverture d'un navigateur, il me signale une alerte grave avec ce malware (alureon).
Donc, je ne peux rien envoyer en matière de rapport.
0
amorynesles
 
J'ai néanmoins réussi la démarche avec combofix (après 2 plantages).
Il a manifestement réussi à éradiquer quelques fichiers.
Le log (il est long...):

omboFix 09-11-15.01 - PEM 15/11/2009 20:54..2 - FAT32x86
Microsoft® Windows Vista™ Édition Intégrale 6.0.6002.2.1252.33.1036.18.2046.1260 [GMT 1:00]
Lancé depuis: c:\users\PEM\Desktop\Trojan\Combo---Fix.exe
AV: AVG Anti-Virus *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: AVG Anti-Virus *enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-51003140-4199384537-3980697693-500
c:\windows\system32\Data
c:\windows\system32\logs
c:\windows\system32\logs\service_log.txt
c:\windows\system32\tdlwsp.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-10-15 au 2009-11-15 ))))))))))))))))))))))))))))))))))))
.

2009-11-15 20:02 . 2009-11-15 20:03 -------- d-----w- c:\users\PEM\AppData\Local\temp
2009-11-15 20:02 . 2009-11-15 20:02 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-11-15 02:57 . 2009-11-15 02:57 -------- d-----w- c:\users\PEM\AppData\Roaming\Malwarebytes
2009-11-15 02:57 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-15 02:57 . 2009-11-15 02:57 -------- d-----w- c:\programdata\Malwarebytes
2009-11-15 02:57 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-15 02:15 . 2009-11-15 02:12 318976 ----a-w- c:\windows\system32\CF8253.exe
2009-11-13 00:02 . 2009-11-13 00:02 81920 ----a-w- c:\windows\system32\W32N50.dll
2009-11-13 00:02 . 2009-11-13 00:02 17134 ----a-w- c:\windows\system32\PCANDIS5.sys
2009-11-12 14:02 . 2009-11-12 14:02 -------- d-----w- c:\program files\NVIDIA Corporation
2009-11-12 12:15 . 2009-11-12 12:15 -------- d-----w- c:\windows\system32\RTL8187
2009-11-12 12:15 . 2007-06-25 12:42 221696 ----a-w- c:\windows\system32\drivers\rtl8187.sys
2009-11-12 12:15 . 2007-04-13 09:23 15360 ----a-w- c:\windows\system32\drivers\RtlProt.sys
2009-11-12 12:15 . 2009-11-12 14:05 8192 d-----w- c:\program files\ASUS WiFi-AP Solo Install Program
2009-11-11 06:36 . 2009-08-14 13:27 2036736 ----a-w- c:\windows\system32\win32k.sys
2009-11-11 05:56 . 2009-08-10 12:35 355328 ----a-w- c:\windows\system32\WSDApi.dll
2009-11-10 17:01 . 2009-10-16 14:50 2520888 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
2009-11-10 17:01 . 2008-03-04 17:52 286720 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetworks.com\plugins\libcurl.dll
2009-11-10 17:01 . 2007-10-31 08:39 59904 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetworks.com\plugins\zlib1.dll
2009-11-10 17:01 . 2007-05-17 12:58 143360 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetworks.com\plugins\libexpatw.dll
2009-11-10 17:01 . 2006-10-18 16:32 499712 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetworks.com\plugins\msvcp71.dll
2009-11-10 17:01 . 2006-10-18 16:32 348160 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetworks.com\plugins\msvcr71.dll
2009-11-10 17:01 . 2006-10-16 17:44 196608 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetworks.com\plugins\ssleay32.dll
2009-11-10 17:01 . 2006-10-16 17:44 1028096 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetworks.com\plugins\libeay32.dll
2009-11-10 13:27 . 2009-11-15 01:38 4096 d-----w- c:\users\PEM\AppData\Roaming\vlc
2009-11-10 02:19 . 2009-11-12 20:23 -------- d-----w- c:\users\PEM\AppData\Roaming\gtk-2.0
2009-11-10 01:41 . 2009-11-10 01:56 4096 d-----w- c:\users\PEM\AppData\Roaming\Inkscape
2009-11-08 16:33 . 2009-10-08 09:11 643072 ----a-w- c:\windows\system32\ykx32ncu.dll
2009-11-08 16:32 . 2009-11-08 16:32 -------- d-----w- c:\program files\Marvell
2009-11-08 15:34 . 2009-11-08 15:34 4096 d-----w- c:\users\PEM\{8f495d81-735a-40f6-9a02-2a648681b238}
2009-11-06 07:05 . 2009-10-21 06:51 2064152 ----a-w- c:\programdata\avg8\update\backup\avgcorex.dll
2009-11-03 07:09 . 2009-10-21 06:51 2025752 ----a-w- c:\programdata\avg8\update\backup\avgtray.exe
2009-11-02 10:50 . 2009-11-02 10:50 -------- d-----w- c:\program files\MSXML 4.0
2009-11-01 12:05 . 2009-11-01 12:05 -------- d-----w- c:\programdata\Age of Empires 3
2009-10-30 03:32 . 2009-08-07 02:24 44768 ----a-w- c:\windows\system32\wups2.dll
2009-10-30 03:32 . 2009-08-07 02:24 53472 ----a-w- c:\windows\system32\wuauclt.exe
2009-10-30 03:32 . 2009-08-07 02:23 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-10-30 03:32 . 2009-08-07 01:45 2421760 ----a-w- c:\windows\system32\wucltux.dll
2009-10-30 03:30 . 2009-08-07 02:24 35552 ----a-w- c:\windows\system32\wups.dll
2009-10-30 03:30 . 2009-08-07 02:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-10-30 03:30 . 2009-08-07 01:44 87552 ----a-w- c:\windows\system32\wudriver.dll
2009-10-30 03:28 . 2009-08-06 18:23 171608 ----a-w- c:\windows\system32\wuwebv.dll
2009-10-30 03:28 . 2009-08-06 17:44 33792 ----a-w- c:\windows\system32\wuapp.exe
2009-10-29 20:39 . 2009-03-16 13:18 69448 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2009-10-29 20:39 . 2009-03-16 13:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll
2009-10-29 20:39 . 2009-03-09 14:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll
2009-10-29 20:39 . 2009-03-09 14:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
2009-10-29 20:39 . 2009-03-09 14:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dll
2009-10-29 20:39 . 2009-03-16 13:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll
2009-10-29 20:39 . 2009-03-16 13:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll
2009-10-29 20:39 . 2008-10-15 05:22 452440 ----a-w- c:\windows\system32\d3dx10_40.dll
2009-10-29 20:39 . 2008-10-15 05:22 2036576 ----a-w- c:\windows\system32\D3DCompiler_40.dll
2009-10-29 20:39 . 2008-10-15 05:22 4379984 ----a-w- c:\windows\system32\D3DX9_40.dll
2009-10-29 11:55 . 2009-10-29 11:55 -------- d-----w- c:\programdata\Azureus
2009-10-29 11:55 . 2009-10-29 12:14 12288 d-----w- c:\users\PEM\AppData\Roaming\Azureus
2009-10-28 03:17 . 2009-10-28 03:17 -------- d-----w- c:\program files\Windows Portable Devices
2009-10-28 02:33 . 2009-09-10 02:00 92672 ----a-w- c:\windows\system32\UIAnimation.dll
2009-10-28 02:33 . 2009-09-10 02:01 3023360 ----a-w- c:\windows\system32\UIRibbon.dll
2009-10-28 02:33 . 2009-09-10 02:00 1164800 ----a-w- c:\windows\system32\UIRibbonRes.dll
2009-10-28 02:31 . 2009-10-08 21:08 555520 ----a-w- c:\windows\system32\UIAutomationCore.dll
2009-10-28 02:31 . 2009-10-08 21:08 234496 ----a-w- c:\windows\system32\oleacc.dll
2009-10-28 02:31 . 2009-10-08 21:07 4096 ----a-w- c:\windows\system32\oleaccrc.dll
2009-10-28 00:52 . 2009-11-15 11:42 4096 d-----w- c:\users\PEM\AppData\Roaming\uTorrent
2009-10-27 20:04 . 2009-09-10 14:58 310784 ----a-w- c:\windows\system32\unregmp2.exe
2009-10-27 20:04 . 2009-09-10 14:59 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-10-27 11:36 . 2009-10-27 11:36 99864 ----a-w- c:\users\PEM\AppData\Local\GDIPFONTCACHEV1.DAT
2009-10-24 15:21 . 2009-10-20 11:33 545280 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe
2009-10-24 15:21 . 2009-10-20 11:33 103424 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris.com\libs\pixomatic.dll
2009-10-24 15:21 . 2009-10-20 11:33 4716544 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris.com\components\cooliris.dll
2009-10-24 15:21 . 2009-10-20 11:33 344064 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe
2009-10-24 15:21 . 2009-10-20 11:33 153600 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
2009-10-23 00:38 . 2009-10-23 00:38 -------- d-----w- c:\programdata\KONAMI
2009-10-20 01:30 . 2009-10-20 01:30 114688 ----a-w- c:\programdata\eMule\lang\fr_FR.dll
2009-10-20 01:25 . 2009-10-20 01:25 -------- d-----w- c:\program files\Bitcomet Ultra Accelerator
2009-10-19 00:21 . 2009-10-19 21:47 -------- d-----w- c:\users\PEM\AppData\Local\ApplicationHistory
2009-10-18 12:22 . 2009-10-18 12:22 -------- d-----w- c:\windows\system32\URTTEMP
2009-10-17 03:12 . 2009-10-17 03:12 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-15 19:35 . 2009-11-08 15:35 34705 ----a-w- c:\programdata\nvModes.dat
2009-11-15 19:35 . 2008-10-23 21:55 4096 d-----w- c:\programdata\NVIDIA
2009-11-15 03:42 . 2006-11-02 16:03 682260 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-15 03:42 . 2006-11-02 16:03 129430 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-14 14:01 . 2009-08-04 16:02 8192 d-----w- c:\users\PEM\AppData\Roaming\dvdcss
2009-11-12 12:15 . 2008-10-25 19:33 8192 d--h--w- c:\program files\InstallShield Installation Information
2009-11-11 15:18 . 2006-11-02 11:18 4096 d-----w- c:\program files\Windows Mail
2009-11-11 11:32 . 2008-10-24 08:29 12288 d-----w- c:\programdata\Microsoft Help
2009-11-10 22:06 . 2008-11-17 15:34 -------- d-----w- c:\program files\Common Files\Steam
2009-11-02 19:42 . 2009-10-03 01:51 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-11-01 12:31 . 2008-11-04 11:28 4096 d-----w- c:\program files\Common Files\Microsoft Games
2009-10-29 21:36 . 2008-11-17 16:11 4096 d-----w- c:\users\PEM\AppData\Roaming\Sports Interactive
2009-10-28 03:17 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-10-28 03:17 . 2009-10-28 03:17 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf
2009-10-28 03:17 . 2009-10-28 03:17 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2009-10-20 01:30 . 2008-10-23 22:21 -------- d-----w- c:\programdata\eMule
2009-10-19 12:17 . 2008-11-17 16:11 4096 d-----w- c:\programdata\Sports Interactive
2009-10-18 12:52 . 2008-10-24 10:07 -------- d-----w- c:\users\PEM\AppData\Roaming\2K Sports
2009-10-14 19:50 . 2008-10-23 22:11 -------- d-----w- c:\program files\Common Files\Adobe
2009-10-08 12:00 . 2008-10-25 23:04 4096 d-----w- c:\program files\MP3Gain
2009-10-07 22:57 . 2009-09-05 11:06 4096 d-----w- c:\program files\Youtube Downloader HD
2009-10-07 16:06 . 2008-11-28 00:36 138184 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-10-07 16:06 . 2008-11-28 00:36 183112 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-10-06 15:14 . 2009-10-07 00:34 52224 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\{2f3a94fd-c89e-41c4-bbd6-18b11705e7f3}\components\FFExternalAlert.dll
2009-10-06 15:14 . 2009-10-07 00:34 114688 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\{2f3a94fd-c89e-41c4-bbd6-18b11705e7f3}\components\npmozax.dll
2009-10-04 21:18 . 2008-10-24 08:37 4096 d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-10-04 21:18 . 2008-10-24 08:38 12288 d-----w- c:\program files\AGEIA Technologies
2009-10-03 19:52 . 2009-06-12 15:50 4096 d-----w- c:\users\PEM\AppData\Roaming\Apple Computer
2009-10-03 19:41 . 2009-10-03 19:40 -------- d-----w- c:\programdata\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-10-03 19:40 . 2009-10-03 19:40 -------- d-----w- c:\program files\iPod
2009-10-03 19:40 . 2009-06-12 15:48 -------- d-----w- c:\program files\Common Files\Apple
2009-10-03 19:40 . 2008-10-25 10:52 -------- d-----w- c:\programdata\Apple Computer
2009-10-03 19:40 . 2009-10-03 19:40 -------- d-----w- c:\program files\Bonjour
2009-10-03 19:40 . 2009-06-12 15:48 -------- d-----w- c:\programdata\Apple
2009-10-03 19:39 . 2009-10-03 19:39 4096 d-----w- c:\program files\QuickTime
2009-10-01 01:02 . 2009-10-28 02:32 2537472 ----a-w- c:\windows\system32\wpdshext.dll
2009-10-01 01:02 . 2009-10-28 02:32 30208 ----a-w- c:\windows\system32\WPDShextAutoplay.exe
2009-10-01 01:02 . 2009-10-28 02:32 334848 ----a-w- c:\windows\system32\PortableDeviceApi.dll
2009-10-01 01:02 . 2009-10-28 02:32 87552 ----a-w- c:\windows\system32\WPDShServiceObj.dll
2009-10-01 01:02 . 2009-10-28 02:32 31232 ----a-w- c:\windows\system32\BthMtpContextHandler.dll
2009-10-01 01:01 . 2009-10-28 02:32 546816 ----a-w- c:\windows\system32\wpd_ci.dll
2009-10-01 01:01 . 2009-10-28 02:32 160256 ----a-w- c:\windows\system32\PortableDeviceTypes.dll
2009-10-01 01:01 . 2009-10-28 02:32 60928 ----a-w- c:\windows\system32\PortableDeviceConnectApi.dll
2009-10-01 01:01 . 2009-10-28 02:32 196608 ----a-w- c:\windows\system32\PortableDeviceWMDRM.dll
2009-10-01 01:01 . 2009-10-28 02:32 100864 ----a-w- c:\windows\system32\PortableDeviceClassExtension.dll
2009-10-01 01:01 . 2009-10-28 02:32 350208 ----a-w- c:\windows\system32\WPDSp.dll
2009-10-01 01:01 . 2009-10-28 02:32 81920 ----a-w- c:\windows\system32\wpdbusenum.dll
2009-10-01 01:01 . 2009-10-28 02:32 40448 ----a-w- c:\windows\system32\drivers\WpdUsb.sys
2009-10-01 01:01 . 2009-10-28 02:32 226816 ----a-w- c:\windows\system32\WpdMtp.dll
2009-10-01 01:01 . 2009-10-28 02:32 33280 ----a-w- c:\windows\system32\WpdConns.dll
2009-10-01 01:01 . 2009-10-28 02:32 61952 ----a-w- c:\windows\system32\WpdMtpUS.dll
2009-09-28 11:14 . 2008-10-25 21:20 177024 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\FlashGot.exe
2009-09-28 09:22 . 2009-09-28 09:22 364544 ----a-w- c:\windows\system32\yk60x86.dll
2009-09-28 09:22 . 2009-09-28 09:22 312832 ----a-w- c:\windows\system32\drivers\yk60x86.sys
2009-09-27 16:47 . 2009-09-27 16:47 2505320 ----a-w- c:\windows\system32\nvcpluir.dll
2009-09-27 16:46 . 2009-09-27 16:46 4942440 ----a-w- c:\windows\system32\nvdisps.dll
2009-09-27 16:46 . 2009-09-27 16:46 13949544 ----a-w- c:\windows\system32\nvcpl.dll
2009-09-26 14:33 . 2009-09-26 14:33 -------- d-----w- c:\users\PEM\AppData\Roaming\K-Meleon
2009-09-25 02:10 . 2009-10-28 02:32 974848 ----a-w- c:\windows\system32\WindowsCodecs.dll
2009-09-25 02:07 . 2009-10-28 02:32 189440 ----a-w- c:\windows\system32\WindowsCodecsExt.dll
2009-09-25 02:04 . 2009-10-28 02:32 321024 ----a-w- c:\windows\system32\PhotoMetadataHandler.dll
2009-09-25 01:49 . 2009-10-28 02:32 1554432 ----a-w- c:\windows\system32\xpsservices.dll
2009-09-25 01:48 . 2009-10-28 02:32 351232 ----a-w- c:\windows\system32\XpsPrint.dll
2009-09-25 01:38 . 2009-10-28 02:32 847360 ----a-w- c:\windows\system32\OpcServices.dll
2009-09-25 01:36 . 2009-10-28 02:32 280064 ----a-w- c:\windows\system32\XpsGdiConverter.dll
2009-09-25 01:35 . 2009-10-28 02:32 135680 ----a-w- c:\windows\system32\XpsRasterService.dll
2009-09-25 01:33 . 2009-10-28 02:32 195584 ----a-w- c:\windows\system32\dxdiagn.dll
2009-09-25 01:33 . 2009-10-28 02:32 829440 ----a-w- c:\windows\system32\d3d10warp.dll
2009-09-25 01:33 . 2009-10-28 02:32 369664 ----a-w- c:\windows\system32\WMPhoto.dll
2009-09-25 01:32 . 2009-10-28 02:32 252928 ----a-w- c:\windows\system32\dxdiag.exe
2009-09-25 01:31 . 2009-10-28 02:32 519680 ----a-w- c:\windows\system32\d3d11.dll
2009-09-25 01:31 . 2009-10-28 02:32 486912 ----a-w- c:\windows\system32\d3d10level9.dll
2009-09-25 01:31 . 2009-10-28 02:32 161280 ----a-w- c:\windows\system32\d3d10_1.dll
2009-09-25 01:31 . 2009-10-28 02:32 218112 ----a-w- c:\windows\system32\d3d10_1core.dll
2009-09-25 01:31 . 2009-10-28 02:32 1030144 ----a-w- c:\windows\system32\d3d10.dll
2009-09-25 01:31 . 2009-10-28 02:32 828928 ----a-w- c:\windows\system32\d2d1.dll
2009-09-25 01:30 . 2009-10-28 02:32 481792 ----a-w- c:\windows\system32\dxgi.dll
2009-09-25 01:30 . 2009-10-28 02:32 190464 ----a-w- c:\windows\system32\d3d10core.dll
2009-09-25 01:27 . 2009-10-28 02:32 634880 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys
2009-09-25 01:27 . 2009-10-28 02:32 37888 ----a-w- c:\windows\system32\cdd.dll
2009-09-25 01:27 . 2009-10-28 02:32 793088 ----a-w- c:\windows\system32\FntCache.dll
2009-09-25 01:27 . 2009-10-28 02:32 1064448 ----a-w- c:\windows\system32\DWrite.dll
2009-09-24 22:54 . 2009-10-28 02:32 258048 ----a-w- c:\windows\system32\winspool.drv
2009-09-24 22:54 . 2009-10-28 02:32 667648 ----a-w- c:\windows\system32\printfilterpipelinesvc.exe
2009-09-24 22:54 . 2009-10-28 02:32 26112 ----a-w- c:\windows\system32\printfilterpipelineprxy.dll
2009-09-22 09:10 . 2009-09-22 09:10 61952 ----a-w- c:\windows\system32\drivers\yk60x86l.sys
2009-09-22 09:10 . 2009-09-22 09:10 45056 ----a-w- c:\windows\system32\yk60x86l.dll
2009-09-21 15:09 . 2009-09-21 15:09 79144 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.0.1.8\SetupAdmin.exe
2009-09-18 16:52 . 2009-09-18 16:52 279712 ----a-w- c:\windows\system32\drivers\atksgt.sys
2009-09-18 16:52 . 2009-09-18 16:52 25888 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2009-09-16 16:37 . 2008-10-25 19:41 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-09-14 09:29 . 2009-10-13 21:21 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2009-09-10 16:48 . 2009-10-13 21:22 218624 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 11:41 . 2009-10-13 21:21 60928 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 00:27 . 2009-09-01 23:46 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2009-08-29 00:14 . 2009-09-01 23:46 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2009-08-28 17:42 . 2009-08-28 17:42 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-08-28 17:42 . 2009-08-28 17:42 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-08-27 09:10 . 2009-08-27 09:10 61440 ----a-w- c:\windows\system32\yk60x86v.dll
2009-08-27 09:10 . 2009-08-27 09:10 20992 ----a-w- c:\windows\system32\drivers\yk60x86v.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"SunJavaUpdateSched"="h:\program files\Java\bin\jusched.exe" [2008-10-26 136600]
"SoundTray"="c:\program files\Analog Devices\SoundMAX\SoundTray.exe" [2007-08-02 53248]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-08-28 1282048]
"AVG8_TRAY"="h:\progra~1\AVG\avgtray.exe" [2009-11-03 2028312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^Users^PEM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Bitcomet Ultra Accelerator.lnk]
path=c:\users\PEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bitcomet Ultra Accelerator.lnk
backup=c:\windows\pss\Bitcomet Ultra Accelerator.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):77,00,69,81,d2,df,c9,01

R0 AvgRkx86;avgrkx86.sys;c:\windows\System32\drivers\avgrkx86.sys [16/01/2009 23:38 12552]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\System32\drivers\avgldx86.sys [16/01/2009 23:38 335240]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\System32\drivers\avgtdix.sys [16/01/2009 23:38 108552]
R1 RtlProt;Realtke RtlProt WLAN Utility Protocol Driver;c:\windows\System32\drivers\RtlProt.sys [12/11/2009 13:15 15360]
R2 avg8emc;AVG8 E-mail Scanner;h:\progra~1\AVG\avgemc.exe [16/01/2009 23:46 908056]
R2 avg8wd;AVG8 WatchDog;h:\progra~1\AVG\avgwdsvc.exe [16/01/2009 23:46 297752]
R2 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [23/12/2008 16:48 55264]
R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 18:08 533360]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [27/09/2009 16:48 240232]
R2 wlidsvc;Windows Live ID Sign-in Assistant;c:\program files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE [30/03/2009 15:28 1533808]
R2 yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe -k yksvcs [25/10/2008 16:40 21504]
R3 DsAudioDevice_282;DsAudioDevice_282;c:\windows\System32\drivers\DsAudioDevice_282.sys [12/06/2009 16:41 16640]
R3 RTL8187;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\System32\drivers\rtl8187.sys [12/11/2009 13:15 221696]
R3 RTL8187B;TG123g USB Wireless Adapter;c:\windows\System32\drivers\RTL8187B.sys [18/06/2009 15:28 281088]
S0 OemBiosDevice;Royalty OEM Bios Extension;c:\windows\System32\drivers\royal.sys [25/10/2008 20:50 240128]
S3 camfilt2;camfilt2;c:\windows\System32\drivers\camfilt2.sys [06/11/2008 23:19 98432]
S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [25/10/2008 16:40 21504]
S3 PAC7302;Hercules Classic Link;c:\windows\System32\drivers\PAC7302.SYS [06/11/2008 23:19 457984]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [18/06/2009 15:23 28224]
S3 SkLaggProtocol;Marvell Link Aggregation Protocol;c:\windows\System32\drivers\yk60x86l.sys [22/09/2009 10:10 61952]
S3 SkVlanProtocol;Marvell VLAN Protocol;c:\windows\System32\drivers\yk60x86v.sys [27/08/2009 10:10 20992]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MBR
*Deregistered* - kwlcrpob
*Deregistered* - mbr
*Deregistered* - PROCEXP113

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
yksvcs REG_MULTI_SZ yksvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
%SystemRoot%\system32\soundschemes.exe /AddRegistration

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B3688A53-AB2A-4b1d-8CEF-8F93D8C51C24}]
%SystemRoot%\system32\soundschemes2.exe /AddRegistration
.
Contenu du dossier 'Tâches planifiées'

2009-11-15 c:\windows\Tasks\RtlVistaStart.job
- c:\program files\ASUS WiFi-AP Solo Install Program\RtWLan.exe [2009-11-12 18:12]

2009-11-15 c:\windows\Tasks\User_Feed_Synchronization-{DA5D596A-2E17-45F2-8562-37185A975B53}.job
- c:\windows\system32\msfeedssync.exe [2009-10-13 03:41]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mWindow Title =
uInternet Settings,ProxyOverride = local
IE: E&xporter vers Microsoft Excel - h:\progra~1\OFFICE~1\Office12\EXCEL.EXE/3000
TCP: {FF6A10E1-4615-4649-9363-7A50A81F34A1} = 192.168.1.1,80.10.246.2
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath - c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - component: c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris.com\components\cooliris.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
FF - plugin: c:\users\PEM\AppData\Roaming\Mozilla\plugins\npcoolirisplugin.dll
FF - plugin: h:\program files\Adobe\Reader\browser\nppdf32.dll
FF - plugin: h:\program files\ITunes\Mozilla Plugins\npitunes.dll
FF - plugin: h:\program files\Java\bin\new_plugin\npdeploytk.dll
FF - plugin: h:\program files\Java\bin\new_plugin\npjp2.dll
FF - plugin: h:\program files\Mozilla\plugins\np-mswmp.dll
FF - plugin: h:\program files\Veetle\Player\npvlc.dll
FF - plugin: h:\program files\Veetle\plugins\npVeetle.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - h:\program files\AVG\Toolbar\IEToolbar.dll
AddRemove-7-Zip - h:\jeux\Empire\7z\7-Zip\Uninstall.exe
AddRemove-lxuae - c:\users\pem\appdata\local\qcoyk.bat
AddRemove-SoundTap - c:\program files\NCH Swift Sound\SoundTap\uninst.exe
AddRemove-Steam App 7870 - h:\jeux\Left 4 dead\Steam\steam.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-15 21:03
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll atapi.sys >>UNKNOWN [0x864FEF61]<<
kernel: MBR read successfully
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-963264865-3765100229-4133840889-1000\Software\SecuROM\License information*]
"datasecu"=hex:00,97,60,59,e9,cb,6b,7e,2d,d0,57,d4,65,9c,09,95,1c,a8,4f,95,3e,
9b,00,58,86,eb,43,ce,3e,d0,00,5e,69,b9,51,c3,20,7e,86,88,46,9b,66,39,af,8f,\
"rkeysecu"=hex:1b,b5,52,6d,b9,b0,2c,c1,55,51,23,8c,25,8e,a7,8c
.
Heure de fin: 2009-11-15 21:06
ComboFix-quarantined-files.txt 2009-11-15 20:06

Avant-CF: 20 667 633 664 octets libres
Après-CF: 21 008 642 048 octets libres

- - End Of File - - 327FD1C120355DF135D01E2A3BD98C4B
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Pourquoi as-tu utilisé Combofix ? Je ne te l'avais pas demandé

Peux-tu m'indiquer le nom et la localisation du fichier détecté par Windows Defender ? Parce que je ne vois rien d'anormal dans tes rapports...

0
Réponse 6 / 9
amorynesles
 
La localisation: c:\Windows\system32\tdlwsp.dll
Le nom: win32/alureon.gen!U

Et chaque fois après avoir surfer......sauf depuis combofix (je touche du bois); je n'ai plus le problème....
Jusqu'à quand ?
0
amorynesles
 
....jusqu'à maintenant !
Le bouclier AVG l'a détecté à nouveau: (c:\Windows\system32\tdlwsp.dll).
Combofix n'a rien changé.
0
amorynesles
 
Le problème s'est manifesté à nouveau......j'en peux plus....
Alureon est revenu de plus belle.Que faire ?
0
Réponse 7 / 9
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
c:\Windows\system32\tdlwsp.dll

==> Ce fichier a été supprimé par Combofix (il est indiqué dans la partie "Autres suppressions")

C:\Qoobox\Quarantine\C\Windows\system32\tdlwsp.dll.vir

==> Il est maintenant ici (dans la quarantaine de Combofix).
Envoie moi ce fichier à l'adresse suivante stp : anthony5151@trashmail.net (c'est une adresse jetable)

Continue d'utiliser ton ordinateur normalement et dis moi si tu as de nouvelles alertes de tes logiciels de protection. Dans tous les cas, reviens ici pour me dire ce qu'il en est, je dois encore te donner des conseils pour sécuriser ton ordinateur ;)

0
Réponse 8 / 9
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Voir message 9 : envoie moi ce fichier stp

0
amorynesles
 
Impossible.J'ai effacé ce fichier de suite après le scan de combofix.
Le problème est survenu à nouveau quelques heures plus tard...
Et le comble, c'est que je ne peux plus re-scanner avec combo-fix dorénavant...4 crashs d'affilée (écran bleu).
J'ai viré AVG pour installer la suite complète d'AVAST.
J'aurai AVG 2010 demain.
0
Réponse 9 / 9
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Mais le fichier est encore dans la quarantaine de Combofix normalement, envoie le moi stp...
Sinon, puisqu'il réapparait tout le temps, ignore l'alerte de l'antivirus la prochaine fois pour pouvoir m'envoyer le fichier

AVG 2010 ça n'existe pas, la dernière version d'AVG est AVG 9 (et Avast est une passoire)

0
amorynesles
 
Comme je te l'ai dit, j'ai supprimé combofix, et tous les fichiers qui vont avec.
Cela dit, je l'ai de nouveau en quarantaine dans AVAST.
J'essaie de me débrouiller pour l'en extraire.
0
amorynesles
 
Derniere chose, j'ai désinstallé avast pour avira, et mon malware n'est plus win32/alureon.gen!U, mais TR/Vundo.Gen
Le fichier tdlwsp.dll demeure le "coupable".
Je rame.
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
je ne trouve pas comment faire les accent avec deux petits point ( ö, ü )
louis -
baladur13 -

2 réponses
différence entre wiiu et wii
garloupe -
DF MENOCAL -

3 réponses
U accent grave clavier QWERTY français Canada
viewtalay -
Reki -

27 réponses
ou est l'accent grave sur le u
Diogène -
fauconleader -

8 réponses