Virus qui revient tout le temps:win32:malware
Résolu
tom311294
Messages postés
26
Date d'inscription
Statut
Membre
Dernière intervention
-
fix200 Messages postés 3243 Date d'inscription Statut Contributeur sécurité Dernière intervention -
fix200 Messages postés 3243 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Je sais il y a déjà eu des messages sur ce sujet là désolé mais je ne trouve pas exactement le même problème que moi ça fait 2 mois que je suis comme ça .
Avast me détecte tout le temps le même virus que je supprime et qui revient juste après j'en est marre je n'arrive pas à le supprimer .
Win32:malware-gen dans C:\Documents and Settings\Propriétaire\~Local\Temp\~temp\mlp92\mdm.exe
Win32:malware-gen dans C:\Documents and Settings\Propriétaire\~Local\Temp\~temp\aiunml81\smss.exe
Il revient toujours je ne sait pas quoi faire.
J'ai fait nettoyage de disque , test avast , spybot , ad-ware , ccleaner malwarebytes et ça ne le supprime pas :(
Je sais il y a déjà eu des messages sur ce sujet là désolé mais je ne trouve pas exactement le même problème que moi ça fait 2 mois que je suis comme ça .
Avast me détecte tout le temps le même virus que je supprime et qui revient juste après j'en est marre je n'arrive pas à le supprimer .
Win32:malware-gen dans C:\Documents and Settings\Propriétaire\~Local\Temp\~temp\mlp92\mdm.exe
Win32:malware-gen dans C:\Documents and Settings\Propriétaire\~Local\Temp\~temp\aiunml81\smss.exe
Il revient toujours je ne sait pas quoi faire.
J'ai fait nettoyage de disque , test avast , spybot , ad-ware , ccleaner malwarebytes et ça ne le supprime pas :(
A voir également:
- Win32 virus
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
30 réponses
Re,
Et bien ...
Tout est revenu ...
Si vous êtes sous Vista Désactivez l'UAC
/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\
_________________________________________________________________
>>>>>>>>>> ! Le logiciel qui suit n'est pas a utiliser a la légère ! <<<<<<<<<<
> /!\ Ce logiciel est TRÈS PUISSANT et peut causer des dégâts sur ton système /!\ <
>>>>>>>> ! Prends ton temps pour lire les tutoriels et les indications ! <<<<<<<<
=========================================================
==========>>> !! A lire, Impératif !! <<<==========
Télécharge ComboFix (de sUBs) et enregistre le sur ton bureau et pas ailleurs.
AVANT d'utiliser ComboFix :
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
( Tutoriel si besoin )
▶ Double clique sur ComboFix.exe afin de le lancer (Sous Vista: Clique droit et choisir " Exécuter en tant qu'administrateur")
▶ Note :
Sous XP : L'outil va te demander si tu souhaite installer la console de récupération (image) .
Reconnecte toi , Puis clique sur "YES" , et une fois la console installée :
! Déconnecte toi d'internet, (très important) !.
▶ Répond par Oui / Yes au message d'avertissement pour que le programme commence à procéder à l'analyse du pc.
!!!!! NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS, CLAVIER.....) !!!!!
▶ A la fin du scan, il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection, laisse le travailler.
▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc Notes en fin d'analyse,
▶ Réactive toutes tes défenses, reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse.
Note :
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)
Et bien ...
Tout est revenu ...
Si vous êtes sous Vista Désactivez l'UAC
/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\
_________________________________________________________________
>>>>>>>>>> ! Le logiciel qui suit n'est pas a utiliser a la légère ! <<<<<<<<<<
> /!\ Ce logiciel est TRÈS PUISSANT et peut causer des dégâts sur ton système /!\ <
>>>>>>>> ! Prends ton temps pour lire les tutoriels et les indications ! <<<<<<<<
=========================================================
==========>>> !! A lire, Impératif !! <<<==========
Télécharge ComboFix (de sUBs) et enregistre le sur ton bureau et pas ailleurs.
AVANT d'utiliser ComboFix :
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
( Tutoriel si besoin )
▶ Double clique sur ComboFix.exe afin de le lancer (Sous Vista: Clique droit et choisir " Exécuter en tant qu'administrateur")
▶ Note :
Sous XP : L'outil va te demander si tu souhaite installer la console de récupération (image) .
Reconnecte toi , Puis clique sur "YES" , et une fois la console installée :
! Déconnecte toi d'internet, (très important) !.
▶ Répond par Oui / Yes au message d'avertissement pour que le programme commence à procéder à l'analyse du pc.
!!!!! NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS, CLAVIER.....) !!!!!
▶ A la fin du scan, il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection, laisse le travailler.
▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc Notes en fin d'analyse,
▶ Réactive toutes tes défenses, reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse.
Note :
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)
ComboFix 09-12-27.03 - Propriétaire 28/12/2009 15:43:00.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.129 [GMT 1:00]
Lancé depuis: c:\documents and settings\Propriétaire\Mes documents\Downloads\ComboFix.exe
AV: avast! antivirus 4.8.1351 [VPS 091227-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\PROPRI~1\LOCALS~1\Temp\sessmgr.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\cisvc.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\clipsrv.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\comrepl.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\esentutl.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\ieudinit.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\mstinit.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\sessmgr.exe
c:\documents and settings\Propriétaire\Local Settings\Application Data\Microsoft\cmstp.exe
c:\documents and settings\Propriétaire\Local Settings\Application Data\Microsoft\ieudinit.exe
c:\documents and settings\Propriétaire\Local Settings\Application Data\Microsoft\logman.exe
c:\documents and settings\Propriétaire\Local Settings\Application Data\Microsoft\rsvp.exe
c:\windows\cmstp.exe
c:\windows\esentutl.exe
c:\windows\ieudinit.exe
c:\windows\mstinit.exe
c:\windows\mstsc.exe
c:\windows\spoolsv.exe
c:\windows\system\cisvc.exe
c:\windows\system\clipsrv.exe
c:\windows\system\dllhst3g.exe
c:\windows\system\esentutl.exe
c:\windows\system\logman.exe
c:\windows\system\sessmgr.exe
c:\windows\system\spoolsv.exe
c:\windows\system32\drivers\cisvc.exe
c:\windows\system32\drivers\dllhst3g.exe
c:\windows\system32\drivers\ieudinit.exe
c:\windows\system32\drivers\mstsc.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-28 ))))))))))))))))))))))))))))))))))))
.
2009-12-28 13:14 . 2009-09-26 17:29 61440 ----a-w- c:\windows\system\cmstp.exe
2009-12-28 13:14 . 2009-12-28 13:14 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2009-12-28 13:12 . 2009-12-28 13:44 -------- d-----w- c:\program files\ZHPDiag
2009-12-28 13:09 . 2009-12-28 13:09 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google
2009-12-28 13:08 . 2009-12-28 13:17 -------- d-----w- c:\program files\Google
2009-12-28 11:51 . 2009-12-28 12:55 -------- dc----w- C:\rsit
2009-12-28 11:43 . 2009-12-28 11:43 -------- d-----w- c:\program files\Trend Micro
2009-12-25 11:28 . 2009-12-25 11:44 -------- d-----w- c:\documents and settings\All Users\Application Data\ArcSoft
2009-12-25 11:28 . 2009-12-25 11:28 -------- d-----w- c:\program files\ArcSoft
2009-12-25 11:28 . 2009-12-25 11:28 -------- d-----w- c:\program files\Fichiers communs\ArcSoft
2009-12-25 11:28 . 2005-04-27 15:36 245408 ----a-w- c:\windows\system32\unicows.dll
2009-12-25 11:27 . 2009-12-25 11:27 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-12-25 11:26 . 2009-12-25 11:26 -------- d-----w- c:\program files\Philips
2009-12-25 11:25 . 2009-12-25 11:29 -------- dc----w- C:\temp
2009-12-22 09:56 . 2009-12-22 09:56 -------- d-----w- c:\program files\Bandoo
2009-12-22 09:50 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-22 09:50 . 2009-12-22 09:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-22 09:50 . 2009-12-22 09:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-22 09:50 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-19 22:07 . 2009-12-19 22:50 -------- dc----w- C:\Fraps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 11:50 . 2009-07-26 10:38 -------- d-----w- c:\program files\Internet Download Manager
2009-12-25 11:46 . 2009-06-24 10:02 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-21 14:30 . 2009-08-02 11:38 -------- d-----w- c:\program files\World of Warcraft
2009-12-18 11:16 . 2009-06-23 20:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-14 21:10 . 2004-08-05 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-14 21:10 . 2004-08-05 12:00 500454 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-21 08:46 . 2009-11-21 08:46 86016 ----a-w- c:\windows\system32\frapsvid.dll
2009-11-15 20:41 . 2009-10-31 12:18 -------- d-----w- c:\program files\adslTV
2009-11-07 18:42 . 2009-06-24 10:39 -------- d-----w- c:\program files\Messenger Plus! Live
2009-11-05 18:57 . 2009-06-28 21:07 -------- d-----w- c:\program files\Java
2009-10-29 07:42 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2004-08-05 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-05 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-05 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-08-05 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-05 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-08-05 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-11 03:17 . 2009-06-28 21:07 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-09-16 5724184]
"AdobeUpdater6"="c:\program files\Fichiers communs\Adobe\Updater6\Adobe_Updater.exe" [2009-01-08 2521464]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-10-10 203264]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-12-03 429392]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-12-18 76304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Cisvc"="c:\docume~1\PROPRI~1\APPLIC~1\cisvc.exe" [2009-09-26 61440]
"ClipSrv"="c:\docume~1\PROPRI~1\APPLIC~1\clipsrv.exe" [2009-09-26 61440]
"DllHst"="c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\dllhst3g.exe" [2009-09-26 61440]
[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]
"ClipSrv"="c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe" [2009-09-26 61440]
"DllHst"="c:\docume~1\PROPRI~1\APPLIC~1\dllhst3g.exe" [2009-09-26 61440]
"Spool"="c:\docume~1\PROPRI~1\APPLIC~1\spoolsv.exe" [2009-09-26 61440]
"Logman"="c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\logman.exe" [2009-09-26 61440]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-02-18 22:30 72208 ----a-w- c:\program files\Fichiers communs\LogiShrd\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Philips GoGear VIBE Device Manager.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Philips GoGear VIBE Device Manager.lnk
backup=c:\windows\pss\Philips GoGear VIBE Device Manager.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater6]
2009-01-08 05:36 2521464 ----a-w- c:\program files\Fichiers communs\Adobe\Updater6\Adobe_Updater.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes Anti-Malware (reboot)]
2009-12-03 15:14 1394000 ----a-w- c:\program files\Malwarebytes' Anti-Malware\mbam.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Internet Download Manager\\IDMan.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14462:TCP"= 14462:TCP:tcp
"14472:UDP"= 14472:UDP:udp
"3724:TCP"= 3724:TCP:Blizzard downloader
"6112:TCP"= 6112:TCP:blizzard downloader
"4000:TCP"= 4000:TCP:wow
"4000:UDP"= 4000:UDP:wow2
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [23/06/2009 21:52 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [23/06/2009 21:52 20560]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [24/06/2009 11:25 10384]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [22/12/2009 10:50 276816]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [22/12/2009 10:50 19160]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/07/2009 21:57 721904]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [28/12/2009 14:09 135664]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.cherche.us
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.cherche.us/keyword/%s
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s
IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm
Trusted Zone: chat-land.org
TCP: {F694CA41-EDC9-4216-9A53-1ACBEB9CB0AA} = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\cutammko.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.facebook.com/home.php?|http://ffck.org/eau_calme/course_ligne/news.php
FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
FF - component: c:\documents and settings\Propriétaire\Application Data\IDM\idmmzcc3\components\idmmzcc.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Explorer_Run-Esent Utl - c:\windows\esentutl.exe
HKLM-Explorer_Run-Mstsc - c:\windows\mstsc.exe
HKLM-Explorer_Run-Logman - c:\windows\System\logman.exe
HKLM-Explorer_Run-ComRepl - c:\docume~1\PROPRI~1\APPLIC~1\MICROS~1\comrepl.exe
HKLM-Explorer_Run-CmSTP - c:\windows\cmstp.exe
HKCU-Explorer_Run-DllHst - c:\windows\System32\drivers\dllhst3g.exe
HKCU-Explorer_Run-Cisvc - c:\windows\System32\drivers\cisvc.exe
HKCU-Explorer_Run-ComRepl - c:\docume~1\PROPRI~1\APPLIC~1\MICROS~1\comrepl.exe
HKCU-Explorer_Run-SessMgr - c:\docume~1\PROPRI~1\APPLIC~1\MICROS~1\sessmgr.exe
HKCU-Explorer_Run-ClipSrv - c:\windows\System\clipsrv.exe
HKCU-Explorer_Run-Spool - c:\windows\spoolsv.exe
HKCU-Explorer_Run-IEudinit - c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\MICROS~1\ieudinit.exe
HKCU-Explorer_Run-rsvp - c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\MICROS~1\rsvp.exe
HKCU-Explorer_Run-Esent Utl - c:\docume~1\PROPRI~1\APPLIC~1\MICROS~1\esentutl.exe
HKU-Default-Explorer_Run-IEudinit - c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\ieudinit.exe
HKU-Default-Explorer_Run-MstInit - c:\windows\mstinit.exe
HKU-Default-Explorer_Run-Cisvc - c:\windows\System\cisvc.exe
HKU-Default-Explorer_Run-Mstsc - c:\windows\System32\drivers\mstsc.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 15:50
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):f2,b8,c9,99,a9,d1,57,48,90,e8,58,5b,4e,00,68,c3,ad,22,2e,c7,a1,
92,37,88,46,e8,24,97,ff,0d,62,ff,cd,0f,11,29,20,d8,28,aa,00,00,00,00,00,00,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{e59805ad-ab38-465c-a7ae-8744f5d8c5f7}]
@Denied: (Full) (Everyone)
"Model"=dword:00000156
"Therad"=dword:0000001d
"MData"=hex(0):73,d5,cf,b8,a4,07,89,80,31,e4,35,6b,2a,ca,fe,43,b6,1f,81,1f,5a,
1b,4d,36,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(548)
c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll
.
Heure de fin: 2009-12-28 15:53:32
ComboFix-quarantined-files.txt 2009-12-28 14:53
Avant-CF: 16 741 781 504 octets libres
Après-CF: 16 850 915 328 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
- - End Of File - - 33C5123DDA6C59FC26BC0CE0F19CAE6E
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.129 [GMT 1:00]
Lancé depuis: c:\documents and settings\Propriétaire\Mes documents\Downloads\ComboFix.exe
AV: avast! antivirus 4.8.1351 [VPS 091227-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\PROPRI~1\LOCALS~1\Temp\sessmgr.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\cisvc.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\clipsrv.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\comrepl.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\esentutl.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\ieudinit.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\mstinit.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\sessmgr.exe
c:\documents and settings\Propriétaire\Local Settings\Application Data\Microsoft\cmstp.exe
c:\documents and settings\Propriétaire\Local Settings\Application Data\Microsoft\ieudinit.exe
c:\documents and settings\Propriétaire\Local Settings\Application Data\Microsoft\logman.exe
c:\documents and settings\Propriétaire\Local Settings\Application Data\Microsoft\rsvp.exe
c:\windows\cmstp.exe
c:\windows\esentutl.exe
c:\windows\ieudinit.exe
c:\windows\mstinit.exe
c:\windows\mstsc.exe
c:\windows\spoolsv.exe
c:\windows\system\cisvc.exe
c:\windows\system\clipsrv.exe
c:\windows\system\dllhst3g.exe
c:\windows\system\esentutl.exe
c:\windows\system\logman.exe
c:\windows\system\sessmgr.exe
c:\windows\system\spoolsv.exe
c:\windows\system32\drivers\cisvc.exe
c:\windows\system32\drivers\dllhst3g.exe
c:\windows\system32\drivers\ieudinit.exe
c:\windows\system32\drivers\mstsc.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-28 ))))))))))))))))))))))))))))))))))))
.
2009-12-28 13:14 . 2009-09-26 17:29 61440 ----a-w- c:\windows\system\cmstp.exe
2009-12-28 13:14 . 2009-12-28 13:14 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2009-12-28 13:12 . 2009-12-28 13:44 -------- d-----w- c:\program files\ZHPDiag
2009-12-28 13:09 . 2009-12-28 13:09 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google
2009-12-28 13:08 . 2009-12-28 13:17 -------- d-----w- c:\program files\Google
2009-12-28 11:51 . 2009-12-28 12:55 -------- dc----w- C:\rsit
2009-12-28 11:43 . 2009-12-28 11:43 -------- d-----w- c:\program files\Trend Micro
2009-12-25 11:28 . 2009-12-25 11:44 -------- d-----w- c:\documents and settings\All Users\Application Data\ArcSoft
2009-12-25 11:28 . 2009-12-25 11:28 -------- d-----w- c:\program files\ArcSoft
2009-12-25 11:28 . 2009-12-25 11:28 -------- d-----w- c:\program files\Fichiers communs\ArcSoft
2009-12-25 11:28 . 2005-04-27 15:36 245408 ----a-w- c:\windows\system32\unicows.dll
2009-12-25 11:27 . 2009-12-25 11:27 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-12-25 11:26 . 2009-12-25 11:26 -------- d-----w- c:\program files\Philips
2009-12-25 11:25 . 2009-12-25 11:29 -------- dc----w- C:\temp
2009-12-22 09:56 . 2009-12-22 09:56 -------- d-----w- c:\program files\Bandoo
2009-12-22 09:50 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-22 09:50 . 2009-12-22 09:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-22 09:50 . 2009-12-22 09:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-22 09:50 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-19 22:07 . 2009-12-19 22:50 -------- dc----w- C:\Fraps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 11:50 . 2009-07-26 10:38 -------- d-----w- c:\program files\Internet Download Manager
2009-12-25 11:46 . 2009-06-24 10:02 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-21 14:30 . 2009-08-02 11:38 -------- d-----w- c:\program files\World of Warcraft
2009-12-18 11:16 . 2009-06-23 20:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-14 21:10 . 2004-08-05 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-14 21:10 . 2004-08-05 12:00 500454 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-21 08:46 . 2009-11-21 08:46 86016 ----a-w- c:\windows\system32\frapsvid.dll
2009-11-15 20:41 . 2009-10-31 12:18 -------- d-----w- c:\program files\adslTV
2009-11-07 18:42 . 2009-06-24 10:39 -------- d-----w- c:\program files\Messenger Plus! Live
2009-11-05 18:57 . 2009-06-28 21:07 -------- d-----w- c:\program files\Java
2009-10-29 07:42 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2004-08-05 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-05 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-05 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-08-05 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-05 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-08-05 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-11 03:17 . 2009-06-28 21:07 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-09-16 5724184]
"AdobeUpdater6"="c:\program files\Fichiers communs\Adobe\Updater6\Adobe_Updater.exe" [2009-01-08 2521464]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-10-10 203264]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-12-03 429392]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-12-18 76304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Cisvc"="c:\docume~1\PROPRI~1\APPLIC~1\cisvc.exe" [2009-09-26 61440]
"ClipSrv"="c:\docume~1\PROPRI~1\APPLIC~1\clipsrv.exe" [2009-09-26 61440]
"DllHst"="c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\dllhst3g.exe" [2009-09-26 61440]
[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]
"ClipSrv"="c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe" [2009-09-26 61440]
"DllHst"="c:\docume~1\PROPRI~1\APPLIC~1\dllhst3g.exe" [2009-09-26 61440]
"Spool"="c:\docume~1\PROPRI~1\APPLIC~1\spoolsv.exe" [2009-09-26 61440]
"Logman"="c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\logman.exe" [2009-09-26 61440]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-02-18 22:30 72208 ----a-w- c:\program files\Fichiers communs\LogiShrd\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Philips GoGear VIBE Device Manager.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Philips GoGear VIBE Device Manager.lnk
backup=c:\windows\pss\Philips GoGear VIBE Device Manager.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater6]
2009-01-08 05:36 2521464 ----a-w- c:\program files\Fichiers communs\Adobe\Updater6\Adobe_Updater.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes Anti-Malware (reboot)]
2009-12-03 15:14 1394000 ----a-w- c:\program files\Malwarebytes' Anti-Malware\mbam.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Internet Download Manager\\IDMan.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14462:TCP"= 14462:TCP:tcp
"14472:UDP"= 14472:UDP:udp
"3724:TCP"= 3724:TCP:Blizzard downloader
"6112:TCP"= 6112:TCP:blizzard downloader
"4000:TCP"= 4000:TCP:wow
"4000:UDP"= 4000:UDP:wow2
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [23/06/2009 21:52 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [23/06/2009 21:52 20560]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [24/06/2009 11:25 10384]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [22/12/2009 10:50 276816]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [22/12/2009 10:50 19160]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/07/2009 21:57 721904]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [28/12/2009 14:09 135664]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.cherche.us
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.cherche.us/keyword/%s
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s
IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm
Trusted Zone: chat-land.org
TCP: {F694CA41-EDC9-4216-9A53-1ACBEB9CB0AA} = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\cutammko.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.facebook.com/home.php?|http://ffck.org/eau_calme/course_ligne/news.php
FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
FF - component: c:\documents and settings\Propriétaire\Application Data\IDM\idmmzcc3\components\idmmzcc.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Explorer_Run-Esent Utl - c:\windows\esentutl.exe
HKLM-Explorer_Run-Mstsc - c:\windows\mstsc.exe
HKLM-Explorer_Run-Logman - c:\windows\System\logman.exe
HKLM-Explorer_Run-ComRepl - c:\docume~1\PROPRI~1\APPLIC~1\MICROS~1\comrepl.exe
HKLM-Explorer_Run-CmSTP - c:\windows\cmstp.exe
HKCU-Explorer_Run-DllHst - c:\windows\System32\drivers\dllhst3g.exe
HKCU-Explorer_Run-Cisvc - c:\windows\System32\drivers\cisvc.exe
HKCU-Explorer_Run-ComRepl - c:\docume~1\PROPRI~1\APPLIC~1\MICROS~1\comrepl.exe
HKCU-Explorer_Run-SessMgr - c:\docume~1\PROPRI~1\APPLIC~1\MICROS~1\sessmgr.exe
HKCU-Explorer_Run-ClipSrv - c:\windows\System\clipsrv.exe
HKCU-Explorer_Run-Spool - c:\windows\spoolsv.exe
HKCU-Explorer_Run-IEudinit - c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\MICROS~1\ieudinit.exe
HKCU-Explorer_Run-rsvp - c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\MICROS~1\rsvp.exe
HKCU-Explorer_Run-Esent Utl - c:\docume~1\PROPRI~1\APPLIC~1\MICROS~1\esentutl.exe
HKU-Default-Explorer_Run-IEudinit - c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\ieudinit.exe
HKU-Default-Explorer_Run-MstInit - c:\windows\mstinit.exe
HKU-Default-Explorer_Run-Cisvc - c:\windows\System\cisvc.exe
HKU-Default-Explorer_Run-Mstsc - c:\windows\System32\drivers\mstsc.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 15:50
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):f2,b8,c9,99,a9,d1,57,48,90,e8,58,5b,4e,00,68,c3,ad,22,2e,c7,a1,
92,37,88,46,e8,24,97,ff,0d,62,ff,cd,0f,11,29,20,d8,28,aa,00,00,00,00,00,00,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{e59805ad-ab38-465c-a7ae-8744f5d8c5f7}]
@Denied: (Full) (Everyone)
"Model"=dword:00000156
"Therad"=dword:0000001d
"MData"=hex(0):73,d5,cf,b8,a4,07,89,80,31,e4,35,6b,2a,ca,fe,43,b6,1f,81,1f,5a,
1b,4d,36,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(548)
c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll
.
Heure de fin: 2009-12-28 15:53:32
ComboFix-quarantined-files.txt 2009-12-28 14:53
Avant-CF: 16 741 781 504 octets libres
Après-CF: 16 850 915 328 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
- - End Of File - - 33C5123DDA6C59FC26BC0CE0F19CAE6E
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
/!\ ATTENTION /!\ : Cette procédure a été crée spécialement pour CET UTILISATEUR, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.
▶ Copie le texte ci-dessous :
KillAll::
File::
c:\windows\system\cmstp.exe
c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe
c:\docume~1\PROPRI~1\APPLIC~1\clipsrv.exe
c:\docume~1\PROPRI~1\APPLIC~1\dllhst3g.exe
c:\docume~1\PROPRI~1\APPLIC~1\spoolsv.exe
c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\logman.exe
c:\docume~1\PROPRI~1\APPLIC~1\cisvc.exe
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Cisvc"=-
"ClipSrv"=-
"DllHst"=-
[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]
"ClipSrv"=-
"DllHst"=-
"Spool"=-
"Logman"=-
▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
▶ Sauvegarde ce fichier sous le nom de CFScript.txt
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci
-> Cela va relancer Combofix,
▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
/!\ Ne touche à rien tant que le scan n'est pas terminé /!\
▶ Après redémarrage, poste le contenu du rapport Combofix.txt
▶ Copie le texte ci-dessous :
KillAll::
File::
c:\windows\system\cmstp.exe
c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe
c:\docume~1\PROPRI~1\APPLIC~1\clipsrv.exe
c:\docume~1\PROPRI~1\APPLIC~1\dllhst3g.exe
c:\docume~1\PROPRI~1\APPLIC~1\spoolsv.exe
c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\logman.exe
c:\docume~1\PROPRI~1\APPLIC~1\cisvc.exe
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Cisvc"=-
"ClipSrv"=-
"DllHst"=-
[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]
"ClipSrv"=-
"DllHst"=-
"Spool"=-
"Logman"=-
▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
▶ Sauvegarde ce fichier sous le nom de CFScript.txt
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci
-> Cela va relancer Combofix,
▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
/!\ Ne touche à rien tant que le scan n'est pas terminé /!\
▶ Après redémarrage, poste le contenu du rapport Combofix.txt
ComboFix 09-12-27.03 - Propriétaire 28/12/2009 16:34:09.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.221 [GMT 1:00]
Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Propriétaire\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1351 [VPS 091227-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FILE ::
"c:\docume~1\PROPRI~1\APPLIC~1\cisvc.exe"
"c:\docume~1\PROPRI~1\APPLIC~1\clipsrv.exe"
"c:\docume~1\PROPRI~1\APPLIC~1\dllhst3g.exe"
"c:\docume~1\PROPRI~1\APPLIC~1\spoolsv.exe"
"c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\logman.exe"
"c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe"
"c:\windows\system\cmstp.exe"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\PROPRI~1\APPLIC~1\cisvc.exe
c:\docume~1\PROPRI~1\APPLIC~1\clipsrv.exe
c:\docume~1\PROPRI~1\APPLIC~1\dllhst3g.exe
c:\docume~1\PROPRI~1\APPLIC~1\spoolsv.exe
c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\logman.exe
c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe
c:\windows\system\cmstp.exe
c:\windows\system\esentutl.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-28 ))))))))))))))))))))))))))))))))))))
.
2009-12-28 13:14 . 2009-12-28 13:14 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2009-12-28 13:12 . 2009-12-28 13:44 -------- d-----w- c:\program files\ZHPDiag
2009-12-28 13:09 . 2009-12-28 13:09 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google
2009-12-28 13:08 . 2009-12-28 13:17 -------- d-----w- c:\program files\Google
2009-12-28 11:51 . 2009-12-28 12:55 -------- dc----w- C:\rsit
2009-12-28 11:43 . 2009-12-28 11:43 -------- d-----w- c:\program files\Trend Micro
2009-12-25 11:28 . 2009-12-25 11:44 -------- d-----w- c:\documents and settings\All Users\Application Data\ArcSoft
2009-12-25 11:28 . 2009-12-25 11:28 -------- d-----w- c:\program files\ArcSoft
2009-12-25 11:28 . 2009-12-25 11:28 -------- d-----w- c:\program files\Fichiers communs\ArcSoft
2009-12-25 11:28 . 2005-04-27 15:36 245408 ----a-w- c:\windows\system32\unicows.dll
2009-12-25 11:27 . 2009-12-25 11:27 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-12-25 11:26 . 2009-12-25 11:26 -------- d-----w- c:\program files\Philips
2009-12-25 11:25 . 2009-12-25 11:29 -------- dc----w- C:\temp
2009-12-22 09:56 . 2009-12-22 09:56 -------- d-----w- c:\program files\Bandoo
2009-12-22 09:50 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-22 09:50 . 2009-12-22 09:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-22 09:50 . 2009-12-22 09:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-22 09:50 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-19 22:07 . 2009-12-19 22:50 -------- dc----w- C:\Fraps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 11:50 . 2009-07-26 10:38 -------- d-----w- c:\program files\Internet Download Manager
2009-12-25 11:46 . 2009-06-24 10:02 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-21 14:30 . 2009-08-02 11:38 -------- d-----w- c:\program files\World of Warcraft
2009-12-18 11:16 . 2009-06-23 20:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-14 21:10 . 2004-08-05 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-14 21:10 . 2004-08-05 12:00 500454 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-21 08:46 . 2009-11-21 08:46 86016 ----a-w- c:\windows\system32\frapsvid.dll
2009-11-15 20:41 . 2009-10-31 12:18 -------- d-----w- c:\program files\adslTV
2009-11-07 18:42 . 2009-06-24 10:39 -------- d-----w- c:\program files\Messenger Plus! Live
2009-11-05 18:57 . 2009-06-28 21:07 -------- d-----w- c:\program files\Java
2009-10-29 07:42 . 2004-08-05 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2004-08-05 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-05 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-05 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-08-05 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-05 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-08-05 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-11 03:17 . 2009-06-28 21:07 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-09-16 5724184]
"AdobeUpdater6"="c:\program files\Fichiers communs\Adobe\Updater6\Adobe_Updater.exe" [2009-01-08 2521464]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-10-10 203264]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-12-03 429392]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-12-18 76304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Esent Utl"="c:\windows\System\esentutl.exe" [BU]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Philips GoGear VIBE Device Manager.lnk - c:\program files\Philips\GoGear VIBE Device Manager\GoGear_Vibe_DeviceManager.exe [2009-12-25 1611152]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-02-18 22:30 72208 ----a-w- c:\program files\Fichiers communs\LogiShrd\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Internet Download Manager\\IDMan.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14462:TCP"= 14462:TCP:tcp
"14472:UDP"= 14472:UDP:udp
"3724:TCP"= 3724:TCP:Blizzard downloader
"6112:TCP"= 6112:TCP:blizzard downloader
"4000:TCP"= 4000:TCP:wow
"4000:UDP"= 4000:UDP:wow2
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/07/2009 21:57 721904]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [23/06/2009 21:52 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [23/06/2009 21:52 20560]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [24/06/2009 11:25 10384]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [22/12/2009 10:50 276816]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [22/12/2009 10:50 19160]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [28/12/2009 14:09 135664]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.cherche.us
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.cherche.us/keyword/%s
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s
IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm
Trusted Zone: chat-land.org
TCP: {F694CA41-EDC9-4216-9A53-1ACBEB9CB0AA} = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\cutammko.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.facebook.com/home.php?|http://ffck.org/eau_calme/course_ligne/news.php
FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
FF - component: c:\documents and settings\Propriétaire\Application Data\IDM\idmmzcc3\components\idmmzcc.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 16:42
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spji.sys >>UNKNOWN [0x82392938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf8579f28
\Driver\ACPI -> ACPI.sys @ 0xf83d2cb8
\Driver\atapi -> atapi.sys @ 0xf838db40
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
NDIS: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family -> SendCompleteHandler -> NDIS.sys @ 0xf8284bd4
PacketIndicateHandler -> NDIS.sys @ 0xf8290a21
SendHandler -> NDIS.sys @ 0xf8284d44
user & kernel MBR OK
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):f2,b8,c9,99,a9,d1,57,48,90,e8,58,5b,4e,00,68,c3,ad,22,2e,c7,a1,
92,37,88,46,e8,24,97,ff,0d,62,ff,cd,0f,11,29,20,d8,28,aa,00,00,00,00,00,00,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{e59805ad-ab38-465c-a7ae-8744f5d8c5f7}]
@Denied: (Full) (Everyone)
"Model"=dword:00000156
"Therad"=dword:0000001d
"MData"=hex(0):73,d5,cf,b8,a4,07,89,80,31,e4,35,6b,2a,ca,fe,43,b6,1f,81,1f,5a,
1b,4d,36,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(560)
c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll
- - - - - - - > 'explorer.exe'(6060)
c:\program files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ArcCon.ac
c:\program files\Alwil Software\Avast4\setup\avast.setup
c:\program files\Windows Live\Messenger\usnsvc.exe
.
**************************************************************************
.
Heure de fin: 2009-12-28 16:49:45 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-28 15:49
ComboFix2.txt 2009-12-28 14:53
Avant-CF: 16 849 903 616 octets libres
Après-CF: 16 819 449 856 octets libres
- - End Of File - - 51DDBDD2D10B68F80F55AF668CA5CA65
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.221 [GMT 1:00]
Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Propriétaire\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1351 [VPS 091227-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FILE ::
"c:\docume~1\PROPRI~1\APPLIC~1\cisvc.exe"
"c:\docume~1\PROPRI~1\APPLIC~1\clipsrv.exe"
"c:\docume~1\PROPRI~1\APPLIC~1\dllhst3g.exe"
"c:\docume~1\PROPRI~1\APPLIC~1\spoolsv.exe"
"c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\logman.exe"
"c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe"
"c:\windows\system\cmstp.exe"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\PROPRI~1\APPLIC~1\cisvc.exe
c:\docume~1\PROPRI~1\APPLIC~1\clipsrv.exe
c:\docume~1\PROPRI~1\APPLIC~1\dllhst3g.exe
c:\docume~1\PROPRI~1\APPLIC~1\spoolsv.exe
c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\logman.exe
c:\docume~1\PROPRI~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe
c:\windows\system\cmstp.exe
c:\windows\system\esentutl.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-28 ))))))))))))))))))))))))))))))))))))
.
2009-12-28 13:14 . 2009-12-28 13:14 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2009-12-28 13:12 . 2009-12-28 13:44 -------- d-----w- c:\program files\ZHPDiag
2009-12-28 13:09 . 2009-12-28 13:09 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google
2009-12-28 13:08 . 2009-12-28 13:17 -------- d-----w- c:\program files\Google
2009-12-28 11:51 . 2009-12-28 12:55 -------- dc----w- C:\rsit
2009-12-28 11:43 . 2009-12-28 11:43 -------- d-----w- c:\program files\Trend Micro
2009-12-25 11:28 . 2009-12-25 11:44 -------- d-----w- c:\documents and settings\All Users\Application Data\ArcSoft
2009-12-25 11:28 . 2009-12-25 11:28 -------- d-----w- c:\program files\ArcSoft
2009-12-25 11:28 . 2009-12-25 11:28 -------- d-----w- c:\program files\Fichiers communs\ArcSoft
2009-12-25 11:28 . 2005-04-27 15:36 245408 ----a-w- c:\windows\system32\unicows.dll
2009-12-25 11:27 . 2009-12-25 11:27 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-12-25 11:26 . 2009-12-25 11:26 -------- d-----w- c:\program files\Philips
2009-12-25 11:25 . 2009-12-25 11:29 -------- dc----w- C:\temp
2009-12-22 09:56 . 2009-12-22 09:56 -------- d-----w- c:\program files\Bandoo
2009-12-22 09:50 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-22 09:50 . 2009-12-22 09:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-22 09:50 . 2009-12-22 09:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-22 09:50 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-19 22:07 . 2009-12-19 22:50 -------- dc----w- C:\Fraps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 11:50 . 2009-07-26 10:38 -------- d-----w- c:\program files\Internet Download Manager
2009-12-25 11:46 . 2009-06-24 10:02 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-21 14:30 . 2009-08-02 11:38 -------- d-----w- c:\program files\World of Warcraft
2009-12-18 11:16 . 2009-06-23 20:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-14 21:10 . 2004-08-05 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-14 21:10 . 2004-08-05 12:00 500454 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-21 08:46 . 2009-11-21 08:46 86016 ----a-w- c:\windows\system32\frapsvid.dll
2009-11-15 20:41 . 2009-10-31 12:18 -------- d-----w- c:\program files\adslTV
2009-11-07 18:42 . 2009-06-24 10:39 -------- d-----w- c:\program files\Messenger Plus! Live
2009-11-05 18:57 . 2009-06-28 21:07 -------- d-----w- c:\program files\Java
2009-10-29 07:42 . 2004-08-05 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2004-08-05 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-05 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-05 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-08-05 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-05 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-08-05 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-11 03:17 . 2009-06-28 21:07 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-09-16 5724184]
"AdobeUpdater6"="c:\program files\Fichiers communs\Adobe\Updater6\Adobe_Updater.exe" [2009-01-08 2521464]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-10-10 203264]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-12-03 429392]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-12-18 76304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Esent Utl"="c:\windows\System\esentutl.exe" [BU]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Philips GoGear VIBE Device Manager.lnk - c:\program files\Philips\GoGear VIBE Device Manager\GoGear_Vibe_DeviceManager.exe [2009-12-25 1611152]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-02-18 22:30 72208 ----a-w- c:\program files\Fichiers communs\LogiShrd\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Internet Download Manager\\IDMan.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14462:TCP"= 14462:TCP:tcp
"14472:UDP"= 14472:UDP:udp
"3724:TCP"= 3724:TCP:Blizzard downloader
"6112:TCP"= 6112:TCP:blizzard downloader
"4000:TCP"= 4000:TCP:wow
"4000:UDP"= 4000:UDP:wow2
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/07/2009 21:57 721904]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [23/06/2009 21:52 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [23/06/2009 21:52 20560]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [24/06/2009 11:25 10384]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [22/12/2009 10:50 276816]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [22/12/2009 10:50 19160]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [28/12/2009 14:09 135664]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.cherche.us
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.cherche.us/keyword/%s
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s
IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm
Trusted Zone: chat-land.org
TCP: {F694CA41-EDC9-4216-9A53-1ACBEB9CB0AA} = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\cutammko.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.facebook.com/home.php?|http://ffck.org/eau_calme/course_ligne/news.php
FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
FF - component: c:\documents and settings\Propriétaire\Application Data\IDM\idmmzcc3\components\idmmzcc.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 16:42
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spji.sys >>UNKNOWN [0x82392938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf8579f28
\Driver\ACPI -> ACPI.sys @ 0xf83d2cb8
\Driver\atapi -> atapi.sys @ 0xf838db40
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
NDIS: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family -> SendCompleteHandler -> NDIS.sys @ 0xf8284bd4
PacketIndicateHandler -> NDIS.sys @ 0xf8290a21
SendHandler -> NDIS.sys @ 0xf8284d44
user & kernel MBR OK
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):f2,b8,c9,99,a9,d1,57,48,90,e8,58,5b,4e,00,68,c3,ad,22,2e,c7,a1,
92,37,88,46,e8,24,97,ff,0d,62,ff,cd,0f,11,29,20,d8,28,aa,00,00,00,00,00,00,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{e59805ad-ab38-465c-a7ae-8744f5d8c5f7}]
@Denied: (Full) (Everyone)
"Model"=dword:00000156
"Therad"=dword:0000001d
"MData"=hex(0):73,d5,cf,b8,a4,07,89,80,31,e4,35,6b,2a,ca,fe,43,b6,1f,81,1f,5a,
1b,4d,36,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(560)
c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll
- - - - - - - > 'explorer.exe'(6060)
c:\program files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ArcCon.ac
c:\program files\Alwil Software\Avast4\setup\avast.setup
c:\program files\Windows Live\Messenger\usnsvc.exe
.
**************************************************************************
.
Heure de fin: 2009-12-28 16:49:45 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-28 15:49
ComboFix2.txt 2009-12-28 14:53
Avant-CF: 16 849 903 616 octets libres
Après-CF: 16 819 449 856 octets libres
- - End Of File - - 51DDBDD2D10B68F80F55AF668CA5CA65
Re,
Arf ...!
Un rootkit MBR en plus ...
/!\ ATTENTION /!\ : Cette procédure a été crée spécialement pour CET UTILISATEUR, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.
▶ Copie le texte ci-dessous :
KillAll::
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Esent Utl"=-
File::
c:\windows\System\esentutl.exe
▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
▶ Sauvegarde ce fichier sous le nom de CFScript.txt
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci
-> Cela va relancer Combofix,
▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
/!\ Ne touche à rien tant que le scan n'est pas terminé /!\
▶ Après redémarrage, poste le contenu du rapport Combofix.txt
=================================================
Télécharge mbr.exe de Gmer :
http://www2.gmer.net/mbr/mbr.exe
Sur le bureau.
Merci à Malekal pour le tutoriel
Désactive tes protections. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe, un rapport sera généré : mbr.log
Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.
En cas d'infection, ce message MBR rootkit code detected va apparaitre.
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra original MBR restored successfully !
Poste ce rapport et supprimes-le ensuite.
Relance mbr.exe et le nouveau mbr.log devrait être celui-ci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.
Arf ...!
Un rootkit MBR en plus ...
/!\ ATTENTION /!\ : Cette procédure a été crée spécialement pour CET UTILISATEUR, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.
▶ Copie le texte ci-dessous :
KillAll::
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Esent Utl"=-
File::
c:\windows\System\esentutl.exe
▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
▶ Sauvegarde ce fichier sous le nom de CFScript.txt
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci
-> Cela va relancer Combofix,
▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
/!\ Ne touche à rien tant que le scan n'est pas terminé /!\
▶ Après redémarrage, poste le contenu du rapport Combofix.txt
=================================================
Télécharge mbr.exe de Gmer :
http://www2.gmer.net/mbr/mbr.exe
Sur le bureau.
Merci à Malekal pour le tutoriel
Désactive tes protections. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe, un rapport sera généré : mbr.log
Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.
En cas d'infection, ce message MBR rootkit code detected va apparaitre.
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra original MBR restored successfully !
Poste ce rapport et supprimes-le ensuite.
Relance mbr.exe et le nouveau mbr.log devrait être celui-ci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.
Tout d'abord fais la manip du CFScript.
Puis:
* Redémarre ton ordinateur
* Après le petit "bip" durant la phase de démarrage de Windows (avant la fenêtre de chargement), tapote la touche F8 jusqu'à à l'apparition du menu d'options avancées.
* choisis l'option "Démarrer Windows en mode sans échec avec prise en charge réseau" puis appuie sur [entré]
Re-télécharge mbr, renomme le en Moi.exe puis dis si il se lance.
Puis:
* Redémarre ton ordinateur
* Après le petit "bip" durant la phase de démarrage de Windows (avant la fenêtre de chargement), tapote la touche F8 jusqu'à à l'apparition du menu d'options avancées.
* choisis l'option "Démarrer Windows en mode sans échec avec prise en charge réseau" puis appuie sur [entré]
Re-télécharge mbr, renomme le en Moi.exe puis dis si il se lance.
Salut,
C EST PAS TERMINE !!!!!
Tu es loin d'être guéri !!
Fais ceci :
https://forums.commentcamarche.net/forum/affich-15871792-virus-qui-revient-tout-le-temps-win32-malware?page=2#31
## ## ####### ## ## #### ### ## ## ## ### ## #### #### ## ## ## #### ## #### ## ## ## ## ## ## ## ## ## ## #### ## ## ## #### ## ### ## ## ## ### #### ## ## ####### ## ## ####
C EST PAS TERMINE !!!!!
Tu es loin d'être guéri !!
Fais ceci :
https://forums.commentcamarche.net/forum/affich-15871792-virus-qui-revient-tout-le-temps-win32-malware?page=2#31
