comment desinstaller malware defense? Fermé

Question

Bonjour,,

je suis novice dans ce monde.
hier j ai lancé une mise à jour Windows qui m a zappé mon antivirus AVIRA et installé MALWARE DEFENSE que je n arrive pas à m en débarrasser. des fenêtres s ouvrent toutes les minutes. spécialement une qui s appelle SECURITY CENTER ALERT.

je sollicite votre grand savoir en la matière pour me filer un coup de pouce.
merci pour votre réponses.

Ced_King · Accepted Answer

Salut,

Télécharge RSIT " Random's System Information Tool " sur ton bureau : http://images.malwareremoval.com/random/RSIT.exe 

- Ferme toutes les applications en cours et double clic sur RSIT.exe 
- Sélectionnes " Continue " à l'ecran >> RSIT va analyser le pc et vérifier si l'outil hijackthis ( version à jour) est présent sur le pc, si ce n'est pas le cas, RSIT le téléchargera >> accepte la license 
- Une fois l'analyse terminée, 2 rapports.txt s'ouvrent, 
-->Log.txt à l'écran 
--> Info.txt dans la barre des tâches 
Poste le contenu des 2 rapports.

jfkpresident · Answer

Lut' -;) Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. ==>Double-clique sur RSIT.exe afin de lancer RSIT. ==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). ==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. ==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront : log.txt (<Rend toi sur ce site: http://www.cijoint.fr/index.php ==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer . ==>Copie/colle ce lien dans ta prochaine réponse . Aide en images si besoin

unai · Answer

Bonjour,
Voici le deux rapports demandés:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrador at 2010-01-03 14:21:02
Microsoft Windows XP Professional Service Pack 3
System drive C: has 29 GB (52%) free of 56 GB
Total RAM: 1279 MB (56% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:16, on 03/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\SFR\Kit\9props.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\settdebugx.exe
C:\ARCHIV~1\MI3AA1~1apimgr.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\wscsvc32.exe
C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Malware Defense\mdefense.exe
C:\Documents and Settings\Administrador\Escritorio\RSIT.exe
C:\Archivos de programa	rend micro\Administrador.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Archivos de programa\Live_TV	bLive.dll
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Archivos de programa\Live_TV	bLive.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Archivos de programa\Live_TV	bLive.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Connexion SFR 9props.exe] "C:\Archivos de programa\SFR\Kit\9props.exe" /trayicon
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LMDVox] C:\Archivos de programa\Micro Application\Votre PC prend la parole\LMDVox.exe Lancement
O4 - HKCU\..\Run: [settdebugx.exe] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\settdebugx.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Archivos de programa\Malware Defense\mdefense.exe" -noscan
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Archivos de programa\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Enregistrer au format HTML - C:\Archivos de programa\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Enregistrer le texte sélectionné - C:\Archivos de programa\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Archivos de programa\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Archivos de programa\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Sélection par capture - C:\Archivos de programa\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Web Capture - C:\Archivos de programa\SmarThru 4\WebCapture.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Sélection par capture - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Sélection par capture - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Enregistrer au format HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Enregistrer au format HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Enregistrer le texte sélectionné - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Enregistrer le texte sélectionné - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_1_2_1.cab
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - https://register.creative.com/register/OCXs/CtORWebClientNoMFC.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15106/CTPID.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.10,85.255.112.133
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.10,85.255.112.133
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.10,85.255.112.133
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Archivos de programa\ma-config.com\maconfservice.exe

unai · Answer

Désolé j ai pas bien saisi la manœuvre
voici le complément de la réponse:

http://www.cijoint.fr/cjlink.php?file=cj201001/cijyvOlNZv.txt
http://www.cijoint.fr/cjlink.php?file=cj201001/cijkqJyNQ5.txt

Ced_King · Answer

- Télécharge Malwarebytes' Anti-Malware : 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

- Installe le > double-clic sur Mbam-setup.exe, à la fin de l'installation, il se mettra automatiquement à jour 
- Une fois installé, fermes toutes les applications en cours et lances Malwarebytes 
- Exécute un examen rapide du pc ( tu n'auras pas accés à internet pendant l'analyse) 
- A la fin du scan clic sur " Afficher les resultats ", si Malwarebytes a trouvé des infections >> clic sur " Supprimer la selection " 
- Si il a besoin de redémarrer le pc pour finir la désinfection, acceptes 
- Un rapport s'etablira, postes son contenu.

unai · Answer

je viens d installer mbam mais il ne se lance pas quant je double clik

Ced_King · Answer

* Fais un clic droit ici 
* Choisis : Enregistrer la cible du lien sous 
* Choisis le Bureau comme destination. 
* Dans le champ "Nom du fichier", renomme ComboFix.exe en CCM.exe par exemple, puis enregistre le. 
* Déconnecte-toi d'Internet et ferme toutes les applications et programmes. 
* Désactive tes défenses ( antivirus, antispyware...) 
* Double-clique sur CCM.exe pour lancer le fix 
* Accepte le message d'avertissement et accepte l'installation de la Console de récupération. 
* Le rapport sera créé sous la racine : C:\Combofix.txt , poste le stp 

Sers-toi de ce tutoriel pour l'utilisation de combofix  : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

jfkpresident · Answer

Je viens d installer mbam mais il ne se lance pas quant je double clik

TDSS le bloque ainsi que d'autres tools ....

CedKing : Si ça ne te dérange ,je vais continuer suite a cette demande : https://forums.commentcamarche.net/forum/affich-15726882-comment-me-debarrasser-de-malware-defense?page=2#67

Unai:

-Télécharge Combofix en cliquant sur ce lien : combokill (combokill correspond a combofix renommé).

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combokill.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

unai · Answer

JE SUIS IMPRESSIONNE PAR LA RAPIDITÉ DE VOTRE INTERVENTION, COOL
voici le rapport:



ComboFix 09-12-23.05 - Administrador 03/01/2010  15:52:16.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.34.3082.18.1279.964 [GMT 1:00]
Running from: c:\documents and settings\Administrador\Escritorio\Combokill.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
- REDUCED FUNCTIONALITY MODE -
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1417001333-2077806209-725345543-1004
c:\$recycle.bin\S-1-5-21-1417001333-2077806209-725345543-1004\desktop.ini
c:\docume~1\ADMINI~1\CONFIG~1\Temp\wscsvc32.exe
c:ecycler\S-1-5-21-1417001333-2111687655-682003330-1004
c:ecycler\S-1-5-21-1417001333-2111687655-682003330-1004\INFO2
c:ecycler\S-1-5-21-1417001333-2111687655-682003330-1005
c:ecycler\S-1-5-21-1417001333-2111687655-682003330-1005\Dc1.GIF
c:ecycler\S-1-5-21-1417001333-2111687655-682003330-1005\Dc2.MDZ_3082
c:ecycler\S-1-5-21-1417001333-2111687655-682003330-1005\INFO2
c:\windowsecover.reg
c:\windows\system\oeminfo.ini
c:\windows\system32\skinboxer43.dll
c:\windows\system32\srcr.dat
c:\windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job

.
(((((((((((((((((((((((((   Files Created from 2009-12-03 to 2010-01-03  )))))))))))))))))))))))))))))))
.

2010-01-03 14:29 . 2010-01-03 14:30	--------	d-----w-	c:\archivos de programa\Malware Defense
2010-01-03 13:46 . 2010-01-03 14:31	--------	d-----w-	c:\archivos de programa\Malwarebytes' Anti-Malware
2010-01-03 13:21 . 2010-01-03 13:21	--------	d-----w-	c:\archivos de programa	rend micro
2010-01-03 13:21 . 2010-01-03 13:21	--------	d-----w-	C:sit
2010-01-02 22:32 . 2010-01-03 07:06	860	----a-w-	c:\windows\system32\krl32mainweq.dll
2009-12-11 18:51 . 2009-11-21 15:58	471552	-c----w-	c:\windows\system32\dllcache\aclayers.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-03 00:43 . 2008-07-23 13:23	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\Skype
2010-01-02 22:32 . 2009-11-30 19:49	--------	d-----w-	c:\archivos de programa\adslTV
2009-12-14 22:43 . 2001-08-24 10:00	718794	----a-w-	c:\windows\system32\perfh00A.dat
2009-12-14 22:43 . 2001-08-24 10:00	145046	----a-w-	c:\windows\system32\perfc00A.dat
2009-12-13 18:34 . 2008-07-31 13:43	--------	d-----w-	c:\archivos de programa\Opera
2009-12-02 21:31 . 2009-11-30 18:51	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\vlc
2009-12-02 21:07 . 2009-04-21 18:09	--------	d-----r-	c:\archivos de programa\Skype
2009-12-02 21:06 . 2008-07-23 13:11	--------	d-----w-	c:\documents and settings\All Users\Datos de programa\Skype
2009-11-28 18:26 . 2008-07-23 13:31	--------	d-----w-	c:\archivos de programa\Archivos comunes\Adobe
2009-11-28 11:12 . 2009-11-28 11:12	--------	d-----w-	c:\documents and settings\All Users\Datos de programa\TVU Networks
2009-11-28 11:12 . 2009-09-30 16:20	--------	d-----w-	c:\archivos de programa\TVUPlayer
2009-11-24 19:54 . 2009-11-24 19:54	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\Foxit Software
2009-11-24 19:54 . 2009-11-24 19:31	--------	d-----w-	c:\archivos de programa\Foxit Software
2009-11-24 17:38 . 2008-06-14 14:47	--------	d-----w-	c:\archivos de programa\Windows Live
2009-11-24 17:37 . 2009-03-12 18:28	--------	d-----w-	c:\archivos de programa\Microsoft
2009-11-21 20:24 . 2009-11-21 20:24	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\TVU Networks
2009-11-21 15:58 . 2004-08-19 13:41	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-15 17:29 . 2009-11-15 17:29	--------	d-----w-	c:\archivos de programa\VideoLAN
2009-11-15 17:27 . 2009-09-15 17:54	--------	d-----w-	c:\archivos de programa\SFR
2009-11-11 21:08 . 2008-07-01 22:55	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\uTorrent
2009-11-11 12:44 . 2008-07-29 17:07	--------	d-----w-	c:\archivos de programa\Micro Application
2009-11-10 23:49 . 2008-07-23 13:09	--------	d-----w-	c:\archivos de programa\Google
2009-11-08 13:18 . 2008-05-02 09:43	--------	d-----w-	c:\archivos de programa\WinTV
2009-11-03 22:10 . 2009-11-03 22:10	152576	----a-w-	c:\documents and settings\Administrador\Datos de programa\Sun\Java\jre1.6.0_17\lzma.dll
2009-10-29 07:43 . 2004-08-19 13:42	832512	----a-w-	c:\windows\system32\wininet.dll
2009-10-29 07:43 . 2004-08-19 13:42	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-10-29 07:43 . 2004-08-19 13:41	17408	----a-w-	c:\windows\system32\corpol.dll
2009-10-21 05:39 . 2004-08-19 13:42	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-19 13:42	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 21:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-19 17:48 . 2009-10-19 17:28	390	----a-w-	c:\documents and settings\All Users\Datos de programa\Ciel\Données Communes\pdf.dll
2009-10-19 17:21 . 2009-10-19 17:21	2232	----a-w-	c:\windows\java\Packages\Data\1BJ9JD37.DAT
2009-10-19 17:21 . 2009-10-19 17:21	155995	----a-w-	c:\windows\java\Packages\ITNRRXJL.ZIP
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\NZ9BLBVX.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\OGCAOG8T.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\UWJRX7N7.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\M2EZX3LV.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\ABXFZDBZ.DAT
2009-10-16 07:50 . 2009-10-16 07:50	2520888	----a-w-	c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l64ag2k6.default\extensions\firefox@tvunetworks.com\plugins
pTVUAx.dll
2009-10-13 10:33 . 2004-08-19 13:42	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-19 13:42	79872	----a-w-	c:\windows\system32aschap.dll
2009-10-12 13:39 . 2004-08-19 13:42	150016	----a-w-	c:\windows\system32astls.dll
2009-10-08 19:41 . 2009-10-08 19:41	4608	----a-w-	c:\windows\system32\w95inf32.dll
2009-10-08 19:41 . 2009-10-08 19:41	2272	----a-w-	c:\windows\system32\w95inf16.dll
2008-08-01 21:45 . 2008-08-01 21:45	1495112	----a-w-	c:\archivos de programa\install_flash_player.exe
2005-05-13 15:12 . 2005-05-13 15:12	217073	--sha-r-	c:\windows\meta4.exe
2005-10-24 09:13 . 2005-10-24 09:13	66560	--sha-r-	c:\windows\MOTA113.exe
2005-10-13 19:27 . 2005-10-13 19:27	422400	--sha-r-	c:\windows\x2.64.exe
2005-10-07 17:14 . 2005-10-07 17:14	308224	--sha-r-	c:\windows\system32\avisynth.dll
2005-07-14 10:31 . 2005-07-14 10:31	27648	--sha-r-	c:\windows\system32\AVSredirect.dll
2005-06-26 13:32 . 2005-06-26 13:32	616448	--sha-r-	c:\windows\system32\cygwin1.dll
2005-06-21 20:37 . 2005-06-21 20:37	45568	--sha-r-	c:\windows\system32\cygz.dll
2004-01-24 22:00 . 2004-01-24 22:00	70656	--sha-r-	c:\windows\system32\i420vfw.dll
2006-04-27 08:24 . 2006-04-27 08:24	2945024	--sha-r-	c:\windows\system32\Smab.dll
2005-02-28 11:16 . 2005-02-28 11:16	240128	--sha-r-	c:\windows\system32\x.264.exe
2004-01-24 22:00 . 2004-01-24 22:00	70656	--sha-r-	c:\windows\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\archivos de programa\SFR\Kit\9props.exe" [2009-06-20 955712]
"msnmsgr"="c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"LMDVox"="c:\archivos de programa\Micro Application\Votre PC prend la parole\LMDVox.exe" [2007-12-18 456704]
"Malware Defense"="c:\archivos de programa\Malware Defense\mdefense.exe" [2010-01-03 1756088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-03-18 67584]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08	35696	----a-w-	c:\archivos de programa\Adobe\Reader 9.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:18	15360	------w-	c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-11-13 13:22	1289000	----a-w-	c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44	3883856	----a-w-	c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PD0630 STISvc]
2005-06-05 17:01	36864	----a-r-	c:\windows\system32\P0630Pin.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18	413696	----a-w-	c:\archivos de programa\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\quxaehs]
2009-11-09 17:58	434176	----a-w-	c:\documents and settings\Administrador\Configuración local\Datos de programa\quxaehs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Samsung PanelMgr]
2008-08-08 05:27	536576	----a-w-	c:\windows\Samsung\PanelMgr\SSMMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 15:47	25623336	----a-r-	c:\archivos de programa\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23	149280	----a-w-	c:\archivos de programa\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-09-30 21:14	198160	----a-w-	c:\archivos de programa\Archivos comunes\Real\Update_OBealsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\archivos de programa\Microsoft ActiveSyncapimgr.exe"= c:\archivos de programa\Microsoft ActiveSyncapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe"= c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\Archivos de programa\Messenger\msmsgs.exe"=
"c:\WINDOWS\system32\rundll32.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Archivos de programa\VideoLAN\VLC\vlc.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Archivos de programa\uTorrent\uTorrent.exe"=
"c:\Archivos de programa\TVUPlayer\TVUPlayer.exe"=
"c:\Archivos de programa\Windows Live\Messenger\wlcsdk.exe"=
"c:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"c:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe"=
"c:\Archivos de programa\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Archivos de programa\adslTV\adsltv.exe"=
"c:\Archivos de programa\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [12/03/2009 19:31 54752]
R3 HCW713x;Hauppauge 713x VU PCI TV Card;c:\windows\system32\drivers\HCW713x.sys [17/06/2008 16:00 827776]
R3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [05/04/2009 20:54 91841]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 fsssvc;Servicio de Windows Live Protección infantil;c:\archivos de programa\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
S3 maconfservice;Ma-Config Service;c:\archivos de programa\ma-config.com\maconfservice.exe [21/04/2009 14:36 216232]
S3 TwoRabts;Two Rabbits Live Bus;c:\windows\system32\DRIVERS\TwoRabts.sys --> c:\windows\system32\DRIVERS\TwoRabts.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [05/08/2008 11:23 721904]
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.sfr.fr/kit/adsl/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: SmarThru4 Capture Selection - c:\archivos de programa\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Enregistrer au format HTML - c:\archivos de programa\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Enregistrer le texte sélectionné - c:\archivos de programa\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Save as HTML - c:\archivos de programa\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Save Selected Text - c:\archivos de programa\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Sélection par capture - c:\archivos de programa\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Web Capture - c:\archivos de programa\SmarThru 4\WebCapture.dll
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.es/scan_es/scan8/oscan8.cab
DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} - hxxps://register.creative.com/register/OCXs/CtORWebClientNoMFC.cab
FF - ProfilePath - c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l64ag2k6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.msn.fr/
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\archivos de programa\ma-config.com
phardwaredetection.dll
FF - plugin: c:\archivos de programa\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\archivos de programa\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l64ag2k6.default\extensions\firefox@tvunetworks.com\plugins
pTVUAx.dll
FF - plugin: c:\program filesealealplayer\Netscape6
ppl3260.dll
FF - plugin: c:\program filesealealplayer\Netscape6
prjplug.dll
FF - plugin: c:\program filesealealplayer\Netscape6
prpjplug.dll
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-settdebugx.exe - c:\docume~1\ADMINI~1\CONFIG~1\Temp\settdebugx.exe
MSConfigStartUp-DAEMON Tools - c:\archivos de programa\DAEMON Tools\daemon.exe
MSConfigStartUp-EPGServiceTool - c:\archiv~1\WinTV\EPG Services\System\EPGClient.exe
MSConfigStartUp-Sony Ericsson PC Suite - c:\archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
MSConfigStartUp-swg - c:\archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
AddRemove-DAEMON Tools Toolbar - c:\archivos de programa\DAEMON Tools Toolbar\uninst.exe
AddRemove-Foxit Reader - g:\archivos de programa\Foxit Software\Foxit Reader\Uninstall.exe
AddRemove-GPL Ghostscript 8.54 - c:\archivos de programa\gs\uninstgs.exe
AddRemove-TMMCOMMUNICATION - g:\bin\unsetup.exe
AddRemove-VideoTools - c:\archivos de programa\VideoTools\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-03 15:54
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  


c:\windows\system32\drivers\H8SRTdmrklyfwbi.sys 40448 bytes executable
c:\windows\system32\drivers\MSIVXpafnyodldrfqnuwmhvubfkilnwtdonbm.sys 78336 bytes executable
c:\docume~1\ADMINI~1\CONFIG~1\Temp\H8SRT40a7.tmp 343040 bytes executable
c:\docume~1\ADMINI~1\CONFIG~1\Temp\h8srtmainqt.dll 16136 bytes
c:\windows\system32\H8SRThboscpalub.dll 36864 bytes executable
c:\windows\system32\H8SRTmglwhkycyx.dll 40960 bytes executable
c:\windows\system32\H8SRTtklrnmoaxq.dat 203 bytes
c:\windows\system32\H8SRTwwuduptxji.dll 23040 bytes executable
c:\windows\system32\MSIVXcount 4 bytes
c:\windows\system32\MSIVXrfunpsoubevvqeqaqagtlhjbtucofoga.dll 23552 bytes executable
c:\windows\system32\MSIVXudtquadckrbstwmhueirnjfcijoxibbd.dll 56320 bytes executable

scan completed successfully
hidden files: 11

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\H8SRTd.sys]
"imagepath"="\systemroot\system32\drivers\H8SRTdmrklyfwbi.sys"

jfkpresident · Answer

Désolé du retard...

Installe la console de récupération : http://www.bibou0007.com/outils-specifiques-f78/installer-la-console-de-recuperation-avec-combofix-t1224.htm

Je te prépare le script pour combofix .

unai · Answer

j ai fait une recherche sur disque dure et j ai trouvé plusieurs dossiers i386 dont 3 on la même taille.
c:\windows\system32\reinstallbackups\0007\driversfiles
c:\windows\system32\reinstallbackups\0008\driversfiles
c:\windows\system32\reinstallbackups\0009\driversfiles

comment je tape le bon dans exécuter comme c est indiqué dans bibou0007.com

jfkpresident · Answer

Prend le premier .

unai · Answer

je prends le premier 
c:\windows\system32\reinstallbackups\0007\driversfiles et je le colle dans DEMARRER> EXECUTER
ou je prends celui de bibou0007.com??
j ai essayé les deux mais rien ne marche.

jfkpresident · Answer

Si tu as le CD de Xp ,regarde ici : http://www.zebulon.fr/dossiers/61-2-installation-console-recuperation-disque.html

unai · Answer

malheureusement j ai pas de CD de XP

jfkpresident · Answer

Ok , regarde ici

Clique sur "installer manuellement la console de récup" ,tu as les démarches a suivre pour l'installer sans le cd .

Dis moi ,tu es espagnol ?

unai · Answer

merci je vais essayer de l installer.
moi je suis marocain, ma femme espagnole et mon fils français. lol. multiculturels .

jfkpresident · Answer

CedKIng reprendra la main parceque je dois m'absenter pendant 2 ou 3 jours ..

Si lui aussi n'est pas dispo on se retrouve en milieu de semaine .

Bye .

jfkpresident · Answer

Avant de partir ,je vais poster le Cfscript qui sera a éxécuté qu'une fois installé la console de récup /!\

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

Killall::
           
Driver::
pafnyodldrfqnuwmhvubfkilnwtdonbm
MSIVXserv
Folder::
c:\archivos de programa\Malware Defense       
File::
c:\windows\system32\krl32mainweq.dll       
Reg::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malware Defense"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys]  
            
- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

unai · Answer

voici le rapport:

ComboFix 10-01-02.05 - Administrador 03/01/2010  22:14:45.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.34.3082.18.1279.962 [GMT 1:00]
Running from: c:\documents and settings\Administrador\Escritorio\Combokill.exe
Command switches used :: c:\documents and settings\Administrador\Mis documentos\Downloads\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\archivos de programa\Malware Defense
c:\archivos de programa\Malware Defense\help.ico
c:\archivos de programa\Malware Defense\md.db
c:\archivos de programa\Malware Defense\mdefense.exe
c:\archivos de programa\Malware Defense\mdext.dll
c:\archivos de programa\Malware Defense\uninstall.exe
c:\documents and settings\Administrador\Configuración local\Datos de programa\quxaehs.dat
c:\documents and settings\Administrador\Configuración local\Datos de programa\quxaehs.exe
c:\documents and settings\Administrador\Configuración local\Datos de programa\quxaehs_nav.dat
c:\documents and settings\Administrador\Configuración local\Datos de programa\quxaehs_navps.dat
c:\documents and settings\Administrador\Datos de programa\inst.exe
c:\windows\system32\casino1.ico
c:\windows\system32\casino2.ico
c:\windows\system32\casino3.ico
c:\windows\system32\drivers\H8SRTdmrklyfwbi.sys
c:\windows\system32\drivers\MSIVXpafnyodldrfqnuwmhvubfkilnwtdonbm.sys
c:\windows\system32\H8SRThboscpalub.dll
c:\windows\system32\H8SRTmglwhkycyx.dll
c:\windows\system32\H8SRTtklrnmoaxq.dat
c:\windows\system32\H8SRTwwuduptxji.dll
c:\windows\system32\MSIVXcount
c:\windows\system32\MSIVXrfunpsoubevvqeqaqagtlhjbtucofoga.dll
c:\windows\system32\MSIVXudtquadckrbstwmhueirnjfcijoxibbd.dll
c:\windows\system32\srcr.dat
c:\windows\system32\Thumbs.db

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys
-------\Service_MSIVXserv.sys
-------\Legacy_MSIVXserv.sys


(((((((((((((((((((((((((   Files Created from 2009-12-03 to 2010-01-03  )))))))))))))))))))))))))))))))
.

2010-01-03 13:46 . 2010-01-03 14:31	--------	d-----w-	c:\archivos de programa\Malwarebytes' Anti-Malware
2010-01-03 13:21 . 2010-01-03 13:21	--------	d-----w-	c:\archivos de programa	rend micro
2010-01-03 13:21 . 2010-01-03 13:21	--------	d-----w-	C:sit
2010-01-02 22:32 . 2010-01-03 15:10	857	----a-w-	c:\windows\system32\krl32mainweq.dll
2009-12-11 18:51 . 2009-11-21 15:58	471552	-c----w-	c:\windows\system32\dllcache\aclayers.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-03 21:12 . 2008-07-23 13:23	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\Skype
2010-01-02 22:32 . 2009-11-30 19:49	--------	d-----w-	c:\archivos de programa\adslTV
2009-12-14 22:43 . 2001-08-24 10:00	718794	----a-w-	c:\windows\system32\perfh00A.dat
2009-12-14 22:43 . 2001-08-24 10:00	145046	----a-w-	c:\windows\system32\perfc00A.dat
2009-12-13 18:34 . 2008-07-31 13:43	--------	d-----w-	c:\archivos de programa\Opera
2009-12-02 21:31 . 2009-11-30 18:51	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\vlc
2009-12-02 21:07 . 2009-04-21 18:09	--------	d-----r-	c:\archivos de programa\Skype
2009-12-02 21:06 . 2008-07-23 13:11	--------	d-----w-	c:\documents and settings\All Users\Datos de programa\Skype
2009-11-28 18:26 . 2008-07-23 13:31	--------	d-----w-	c:\archivos de programa\Archivos comunes\Adobe
2009-11-28 11:12 . 2009-11-28 11:12	--------	d-----w-	c:\documents and settings\All Users\Datos de programa\TVU Networks
2009-11-28 11:12 . 2009-09-30 16:20	--------	d-----w-	c:\archivos de programa\TVUPlayer
2009-11-24 19:54 . 2009-11-24 19:54	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\Foxit Software
2009-11-24 19:54 . 2009-11-24 19:31	--------	d-----w-	c:\archivos de programa\Foxit Software
2009-11-24 17:38 . 2008-06-14 14:47	--------	d-----w-	c:\archivos de programa\Windows Live
2009-11-24 17:37 . 2009-03-12 18:28	--------	d-----w-	c:\archivos de programa\Microsoft
2009-11-21 20:24 . 2009-11-21 20:24	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\TVU Networks
2009-11-21 15:58 . 2004-08-19 13:41	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-15 17:29 . 2009-11-15 17:29	--------	d-----w-	c:\archivos de programa\VideoLAN
2009-11-15 17:27 . 2009-09-15 17:54	--------	d-----w-	c:\archivos de programa\SFR
2009-11-11 21:08 . 2008-07-01 22:55	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\uTorrent
2009-11-11 12:44 . 2008-07-29 17:07	--------	d-----w-	c:\archivos de programa\Micro Application
2009-11-10 23:49 . 2008-07-23 13:09	--------	d-----w-	c:\archivos de programa\Google
2009-11-08 13:18 . 2008-05-02 09:43	--------	d-----w-	c:\archivos de programa\WinTV
2009-11-03 22:10 . 2009-11-03 22:10	152576	----a-w-	c:\documents and settings\Administrador\Datos de programa\Sun\Java\jre1.6.0_17\lzma.dll
2009-10-29 07:43 . 2004-08-19 13:42	832512	------w-	c:\windows\system32\wininet.dll
2009-10-29 07:43 . 2004-08-19 13:42	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-10-29 07:43 . 2004-08-19 13:41	17408	----a-w-	c:\windows\system32\corpol.dll
2009-10-21 05:39 . 2004-08-19 13:42	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-19 13:42	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 21:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-19 17:48 . 2009-10-19 17:28	390	----a-w-	c:\documents and settings\All Users\Datos de programa\Ciel\Données Communes\pdf.dll
2009-10-19 17:21 . 2009-10-19 17:21	2232	----a-w-	c:\windows\java\Packages\Data\1BJ9JD37.DAT
2009-10-19 17:21 . 2009-10-19 17:21	155995	----a-w-	c:\windows\java\Packages\ITNRRXJL.ZIP
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\NZ9BLBVX.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\OGCAOG8T.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\UWJRX7N7.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\M2EZX3LV.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\ABXFZDBZ.DAT
2009-10-16 07:50 . 2009-10-16 07:50	2520888	----a-w-	c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l64ag2k6.default\extensions\firefox@tvunetworks.com\plugins
pTVUAx.dll
2009-10-13 10:33 . 2004-08-19 13:42	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-19 13:42	79872	----a-w-	c:\windows\system32aschap.dll
2009-10-12 13:39 . 2004-08-19 13:42	150016	----a-w-	c:\windows\system32astls.dll
2009-10-08 19:41 . 2009-10-08 19:41	4608	----a-w-	c:\windows\system32\w95inf32.dll
2009-10-08 19:41 . 2009-10-08 19:41	2272	----a-w-	c:\windows\system32\w95inf16.dll
2008-08-01 21:45 . 2008-08-01 21:45	1495112	----a-w-	c:\archivos de programa\install_flash_player.exe
2005-05-13 15:12 . 2005-05-13 15:12	217073	--sha-r-	c:\windows\meta4.exe
2005-10-24 09:13 . 2005-10-24 09:13	66560	--sha-r-	c:\windows\MOTA113.exe
2005-10-13 19:27 . 2005-10-13 19:27	422400	--sha-r-	c:\windows\x2.64.exe
2005-10-07 17:14 . 2005-10-07 17:14	308224	--sha-r-	c:\windows\system32\avisynth.dll
2005-07-14 10:31 . 2005-07-14 10:31	27648	--sha-r-	c:\windows\system32\AVSredirect.dll
2005-06-26 13:32 . 2005-06-26 13:32	616448	--sha-r-	c:\windows\system32\cygwin1.dll
2005-06-21 20:37 . 2005-06-21 20:37	45568	--sha-r-	c:\windows\system32\cygz.dll
2004-01-24 22:00 . 2004-01-24 22:00	70656	--sha-r-	c:\windows\system32\i420vfw.dll
2006-04-27 08:24 . 2006-04-27 08:24	2945024	--sha-r-	c:\windows\system32\Smab.dll
2005-02-28 11:16 . 2005-02-28 11:16	240128	--sha-r-	c:\windows\system32\x.264.exe
2004-01-24 22:00 . 2004-01-24 22:00	70656	--sha-r-	c:\windows\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\archivos de programa\SFR\Kit\9props.exe" [2009-06-20 955712]
"msnmsgr"="c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"LMDVox"="c:\archivos de programa\Micro Application\Votre PC prend la parole\LMDVox.exe" [2007-12-18 456704]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-03-18 67584]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08	35696	----a-w-	c:\archivos de programa\Adobe\Reader 9.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:18	15360	------w-	c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-11-13 13:22	1289000	----a-w-	c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44	3883856	----a-w-	c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PD0630 STISvc]
2005-06-05 17:01	36864	----a-r-	c:\windows\system32\P0630Pin.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18	413696	----a-w-	c:\archivos de programa\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Samsung PanelMgr]
2008-08-08 05:27	536576	----a-w-	c:\windows\Samsung\PanelMgr\SSMMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 15:47	25623336	----a-r-	c:\archivos de programa\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23	149280	----a-w-	c:\archivos de programa\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-09-30 21:14	198160	----a-w-	c:\archivos de programa\Archivos comunes\Real\Update_OBealsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\archivos de programa\Microsoft ActiveSyncapimgr.exe"= c:\archivos de programa\Microsoft ActiveSyncapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe"= c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\Archivos de programa\Messenger\msmsgs.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Archivos de programa\VideoLAN\VLC\vlc.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Archivos de programa\uTorrent\uTorrent.exe"=
"c:\Archivos de programa\TVUPlayer\TVUPlayer.exe"=
"c:\Archivos de programa\Windows Live\Messenger\wlcsdk.exe"=
"c:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"c:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe"=
"c:\Archivos de programa\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Archivos de programa\adslTV\adsltv.exe"=
"c:\Archivos de programa\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [12/03/2009 19:31 54752]
R3 HCW713x;Hauppauge 713x VU PCI TV Card;c:\windows\system32\drivers\HCW713x.sys [17/06/2008 16:00 827776]
R3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [05/04/2009 20:54 91841]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 fsssvc;Servicio de Windows Live Protección infantil;c:\archivos de programa\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
S3 maconfservice;Ma-Config Service;c:\archivos de programa\ma-config.com\maconfservice.exe [21/04/2009 14:36 216232]
S3 TwoRabts;Two Rabbits Live Bus;c:\windows\system32\DRIVERS\TwoRabts.sys --> c:\windows\system32\DRIVERS\TwoRabts.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [05/08/2008 11:23 721904]
.
Contents of the 'Scheduled Tasks' folder

2009-12-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.sfr.fr/kit/adsl/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: SmarThru4 Capture Selection - c:\archivos de programa\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Enregistrer au format HTML - c:\archivos de programa\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Enregistrer le texte sélectionné - c:\archivos de programa\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Save as HTML - c:\archivos de programa\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Save Selected Text - c:\archivos de programa\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Sélection par capture - c:\archivos de programa\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Web Capture - c:\archivos de programa\SmarThru 4\WebCapture.dll
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.es/scan_es/scan8/oscan8.cab
DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} - hxxps://register.creative.com/register/OCXs/CtORWebClientNoMFC.cab
FF - ProfilePath - c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l64ag2k6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.msn.fr/
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\archivos de programa\ma-config.com
phardwaredetection.dll
FF - plugin: c:\archivos de programa\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\archivos de programa\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l64ag2k6.default\extensions\firefox@tvunetworks.com\plugins
pTVUAx.dll
FF - plugin: c:\program filesealealplayer\Netscape6
ppl3260.dll
FF - plugin: c:\program filesealealplayer\Netscape6
prjplug.dll
FF - plugin: c:\program filesealealplayer\Netscape6
prpjplug.dll
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Malware Defense - c:\archivos de programa\Malware Defense\mdefense.exe
MSConfigStartUp-quxaehs - c:\documents and settings\administrador\configuración local\datos de programa\quxaehs.exe
AddRemove-Malware Defense - c:\archivos de programa\Malware Defense\Uninstall.exe
AddRemove-quxaehs - c:\documents and settings\administrador\configuración local\datos de programa\quxaehs.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-03 22:21
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1417001333-2111687655-682003330-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:68,3a,65,64,96,06,27,4d,3a,8c,19,e3,34,4d,86,6a,ed,d8,99,cf,4f,29,d4,
   aa,6a,1e,54,48,d1,69,65,ab,f0,a3,39,69,8d,ff,5c,37,fc,09,94,d5,73,9d,b2,22,\
"??"=hex:e2,3e,9c,5a,0a,ee,54,1b,4f,ce,f0,de,85,ec,8d,58

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"A0C0110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(3568)
c:\windows\system32\WININET.dll
c:\archiv~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Java\jre6\bin\jqs.exe
c:\archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\SOUNDMAN.EXE
c:\archiv~1\MI3AA1~1apimgr.exe
.
**************************************************************************
.
Completion time: 2010-01-03  22:26:28 - machine was rebooted
ComboFix-quarantined-files.txt  2010-01-03 21:26
ComboFix2.txt  2010-01-03 14:57

Pre-Run: 30.875.234.304 bytes libres
Post-Run: 30.838.603.776 bytes libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 0F6D1468CC7D89727F32490CE8C81243

unai · Answer

ComboFix 10-01-02.05 - Administrador 03/01/2010  22:14:45.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.34.3082.18.1279.962 [GMT 1:00]
Running from: c:\documents and settings\Administrador\Escritorio\Combokill.exe
Command switches used :: c:\documents and settings\Administrador\Mis documentos\Downloads\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\archivos de programa\Malware Defense
c:\archivos de programa\Malware Defense\help.ico
c:\archivos de programa\Malware Defense\md.db
c:\archivos de programa\Malware Defense\mdefense.exe
c:\archivos de programa\Malware Defense\mdext.dll
c:\archivos de programa\Malware Defense\uninstall.exe
c:\documents and settings\Administrador\Configuración local\Datos de programa\quxaehs.dat
c:\documents and settings\Administrador\Configuración local\Datos de programa\quxaehs.exe
c:\documents and settings\Administrador\Configuración local\Datos de programa\quxaehs_nav.dat
c:\documents and settings\Administrador\Configuración local\Datos de programa\quxaehs_navps.dat
c:\documents and settings\Administrador\Datos de programa\inst.exe
c:\windows\system32\casino1.ico
c:\windows\system32\casino2.ico
c:\windows\system32\casino3.ico
c:\windows\system32\drivers\H8SRTdmrklyfwbi.sys
c:\windows\system32\drivers\MSIVXpafnyodldrfqnuwmhvubfkilnwtdonbm.sys
c:\windows\system32\H8SRThboscpalub.dll
c:\windows\system32\H8SRTmglwhkycyx.dll
c:\windows\system32\H8SRTtklrnmoaxq.dat
c:\windows\system32\H8SRTwwuduptxji.dll
c:\windows\system32\MSIVXcount
c:\windows\system32\MSIVXrfunpsoubevvqeqaqagtlhjbtucofoga.dll
c:\windows\system32\MSIVXudtquadckrbstwmhueirnjfcijoxibbd.dll
c:\windows\system32\srcr.dat
c:\windows\system32\Thumbs.db

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys
-------\Service_MSIVXserv.sys
-------\Legacy_MSIVXserv.sys


(((((((((((((((((((((((((   Files Created from 2009-12-03 to 2010-01-03  )))))))))))))))))))))))))))))))
.

2010-01-03 13:46 . 2010-01-03 14:31	--------	d-----w-	c:\archivos de programa\Malwarebytes' Anti-Malware
2010-01-03 13:21 . 2010-01-03 13:21	--------	d-----w-	c:\archivos de programa	rend micro
2010-01-03 13:21 . 2010-01-03 13:21	--------	d-----w-	C:sit
2010-01-02 22:32 . 2010-01-03 15:10	857	----a-w-	c:\windows\system32\krl32mainweq.dll
2009-12-11 18:51 . 2009-11-21 15:58	471552	-c----w-	c:\windows\system32\dllcache\aclayers.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-03 21:12 . 2008-07-23 13:23	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\Skype
2010-01-02 22:32 . 2009-11-30 19:49	--------	d-----w-	c:\archivos de programa\adslTV
2009-12-14 22:43 . 2001-08-24 10:00	718794	----a-w-	c:\windows\system32\perfh00A.dat
2009-12-14 22:43 . 2001-08-24 10:00	145046	----a-w-	c:\windows\system32\perfc00A.dat
2009-12-13 18:34 . 2008-07-31 13:43	--------	d-----w-	c:\archivos de programa\Opera
2009-12-02 21:31 . 2009-11-30 18:51	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\vlc
2009-12-02 21:07 . 2009-04-21 18:09	--------	d-----r-	c:\archivos de programa\Skype
2009-12-02 21:06 . 2008-07-23 13:11	--------	d-----w-	c:\documents and settings\All Users\Datos de programa\Skype
2009-11-28 18:26 . 2008-07-23 13:31	--------	d-----w-	c:\archivos de programa\Archivos comunes\Adobe
2009-11-28 11:12 . 2009-11-28 11:12	--------	d-----w-	c:\documents and settings\All Users\Datos de programa\TVU Networks
2009-11-28 11:12 . 2009-09-30 16:20	--------	d-----w-	c:\archivos de programa\TVUPlayer
2009-11-24 19:54 . 2009-11-24 19:54	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\Foxit Software
2009-11-24 19:54 . 2009-11-24 19:31	--------	d-----w-	c:\archivos de programa\Foxit Software
2009-11-24 17:38 . 2008-06-14 14:47	--------	d-----w-	c:\archivos de programa\Windows Live
2009-11-24 17:37 . 2009-03-12 18:28	--------	d-----w-	c:\archivos de programa\Microsoft
2009-11-21 20:24 . 2009-11-21 20:24	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\TVU Networks
2009-11-21 15:58 . 2004-08-19 13:41	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-15 17:29 . 2009-11-15 17:29	--------	d-----w-	c:\archivos de programa\VideoLAN
2009-11-15 17:27 . 2009-09-15 17:54	--------	d-----w-	c:\archivos de programa\SFR
2009-11-11 21:08 . 2008-07-01 22:55	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\uTorrent
2009-11-11 12:44 . 2008-07-29 17:07	--------	d-----w-	c:\archivos de programa\Micro Application
2009-11-10 23:49 . 2008-07-23 13:09	--------	d-----w-	c:\archivos de programa\Google
2009-11-08 13:18 . 2008-05-02 09:43	--------	d-----w-	c:\archivos de programa\WinTV
2009-11-03 22:10 . 2009-11-03 22:10	152576	----a-w-	c:\documents and settings\Administrador\Datos de programa\Sun\Java\jre1.6.0_17\lzma.dll
2009-10-29 07:43 . 2004-08-19 13:42	832512	------w-	c:\windows\system32\wininet.dll
2009-10-29 07:43 . 2004-08-19 13:42	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-10-29 07:43 . 2004-08-19 13:41	17408	----a-w-	c:\windows\system32\corpol.dll
2009-10-21 05:39 . 2004-08-19 13:42	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-19 13:42	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 21:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-19 17:48 . 2009-10-19 17:28	390	----a-w-	c:\documents and settings\All Users\Datos de programa\Ciel\Données Communes\pdf.dll
2009-10-19 17:21 . 2009-10-19 17:21	2232	----a-w-	c:\windows\java\Packages\Data\1BJ9JD37.DAT
2009-10-19 17:21 . 2009-10-19 17:21	155995	----a-w-	c:\windows\java\Packages\ITNRRXJL.ZIP
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\NZ9BLBVX.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\OGCAOG8T.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\UWJRX7N7.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\M2EZX3LV.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\ABXFZDBZ.DAT
2009-10-16 07:50 . 2009-10-16 07:50	2520888	----a-w-	c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l64ag2k6.default\extensions\firefox@tvunetworks.com\plugins
pTVUAx.dll
2009-10-13 10:33 . 2004-08-19 13:42	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-19 13:42	79872	----a-w-	c:\windows\system32aschap.dll
2009-10-12 13:39 . 2004-08-19 13:42	150016	----a-w-	c:\windows\system32astls.dll
2009-10-08 19:41 . 2009-10-08 19:41	4608	----a-w-	c:\windows\system32\w95inf32.dll
2009-10-08 19:41 . 2009-10-08 19:41	2272	----a-w-	c:\windows\system32\w95inf16.dll
2008-08-01 21:45 . 2008-08-01 21:45	1495112	----a-w-	c:\archivos de programa\install_flash_player.exe
2005-05-13 15:12 . 2005-05-13 15:12	217073	--sha-r-	c:\windows\meta4.exe
2005-10-24 09:13 . 2005-10-24 09:13	66560	--sha-r-	c:\windows\MOTA113.exe
2005-10-13 19:27 . 2005-10-13 19:27	422400	--sha-r-	c:\windows\x2.64.exe
2005-10-07 17:14 . 2005-10-07 17:14	308224	--sha-r-	c:\windows\system32\avisynth.dll
2005-07-14 10:31 . 2005-07-14 10:31	27648	--sha-r-	c:\windows\system32\AVSredirect.dll
2005-06-26 13:32 . 2005-06-26 13:32	616448	--sha-r-	c:\windows\system32\cygwin1.dll
2005-06-21 20:37 . 2005-06-21 20:37	45568	--sha-r-	c:\windows\system32\cygz.dll
2004-01-24 22:00 . 2004-01-24 22:00	70656	--sha-r-	c:\windows\system32\i420vfw.dll
2006-04-27 08:24 . 2006-04-27 08:24	2945024	--sha-r-	c:\windows\system32\Smab.dll
2005-02-28 11:16 . 2005-02-28 11:16	240128	--sha-r-	c:\windows\system32\x.264.exe
2004-01-24 22:00 . 2004-01-24 22:00	70656	--sha-r-	c:\windows\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\archivos de programa\SFR\Kit\9props.exe" [2009-06-20 955712]
"msnmsgr"="c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"LMDVox"="c:\archivos de programa\Micro Application\Votre PC prend la parole\LMDVox.exe" [2007-12-18 456704]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-03-18 67584]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08	35696	----a-w-	c:\archivos de programa\Adobe\Reader 9.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:18	15360	------w-	c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-11-13 13:22	1289000	----a-w-	c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44	3883856	----a-w-	c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PD0630 STISvc]
2005-06-05 17:01	36864	----a-r-	c:\windows\system32\P0630Pin.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18	413696	----a-w-	c:\archivos de programa\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Samsung PanelMgr]
2008-08-08 05:27	536576	----a-w-	c:\windows\Samsung\PanelMgr\SSMMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 15:47	25623336	----a-r-	c:\archivos de programa\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23	149280	----a-w-	c:\archivos de programa\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-09-30 21:14	198160	----a-w-	c:\archivos de programa\Archivos comunes\Real\Update_OBealsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\archivos de programa\Microsoft ActiveSyncapimgr.exe"= c:\archivos de programa\Microsoft ActiveSyncapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe"= c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\Archivos de programa\Messenger\msmsgs.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Archivos de programa\VideoLAN\VLC\vlc.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Archivos de programa\uTorrent\uTorrent.exe"=
"c:\Archivos de programa\TVUPlayer\TVUPlayer.exe"=
"c:\Archivos de programa\Windows Live\Messenger\wlcsdk.exe"=
"c:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"c:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe"=
"c:\Archivos de programa\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Archivos de programa\adslTV\adsltv.exe"=
"c:\Archivos de programa\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [12/03/2009 19:31 54752]
R3 HCW713x;Hauppauge 713x VU PCI TV Card;c:\windows\system32\drivers\HCW713x.sys [17/06/2008 16:00 827776]
R3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [05/04/2009 20:54 91841]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 fsssvc;Servicio de Windows Live Protección infantil;c:\archivos de programa\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
S3 maconfservice;Ma-Config Service;c:\archivos de programa\ma-config.com\maconfservice.exe [21/04/2009 14:36 216232]
S3 TwoRabts;Two Rabbits Live Bus;c:\windows\system32\DRIVERS\TwoRabts.sys --> c:\windows\system32\DRIVERS\TwoRabts.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [05/08/2008 11:23 721904]
.
Contents of the 'Scheduled Tasks' folder

2009-12-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.sfr.fr/kit/adsl/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: SmarThru4 Capture Selection - c:\archivos de programa\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Enregistrer au format HTML - c:\archivos de programa\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Enregistrer le texte sélectionné - c:\archivos de programa\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Save as HTML - c:\archivos de programa\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Save Selected Text - c:\archivos de programa\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Sélection par capture - c:\archivos de programa\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Web Capture - c:\archivos de programa\SmarThru 4\WebCapture.dll
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.es/scan_es/scan8/oscan8.cab
DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} - hxxps://register.creative.com/register/OCXs/CtORWebClientNoMFC.cab
FF - ProfilePath - c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l64ag2k6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.msn.fr/
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\archivos de programa\ma-config.com
phardwaredetection.dll
FF - plugin: c:\archivos de programa\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\archivos de programa\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l64ag2k6.default\extensions\firefox@tvunetworks.com\plugins
pTVUAx.dll
FF - plugin: c:\program filesealealplayer\Netscape6
ppl3260.dll
FF - plugin: c:\program filesealealplayer\Netscape6
prjplug.dll
FF - plugin: c:\program filesealealplayer\Netscape6
prpjplug.dll
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Malware Defense - c:\archivos de programa\Malware Defense\mdefense.exe
MSConfigStartUp-quxaehs - c:\documents and settings\administrador\configuración local\datos de programa\quxaehs.exe
AddRemove-Malware Defense - c:\archivos de programa\Malware Defense\Uninstall.exe
AddRemove-quxaehs - c:\documents and settings\administrador\configuración local\datos de programa\quxaehs.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-03 22:21
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1417001333-2111687655-682003330-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:68,3a,65,64,96,06,27,4d,3a,8c,19,e3,34,4d,86,6a,ed,d8,99,cf,4f,29,d4,
   aa,6a,1e,54,48,d1,69,65,ab,f0,a3,39,69,8d,ff,5c,37,fc,09,94,d5,73,9d,b2,22,\
"??"=hex:e2,3e,9c,5a,0a,ee,54,1b,4f,ce,f0,de,85,ec,8d,58

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"A0C0110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(3568)
c:\windows\system32\WININET.dll
c:\archiv~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Java\jre6\bin\jqs.exe
c:\archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\SOUNDMAN.EXE
c:\archiv~1\MI3AA1~1apimgr.exe
.
**************************************************************************
.
Completion time: 2010-01-03  22:26:28 - machine was rebooted
ComboFix-quarantined-files.txt  2010-01-03 21:26
ComboFix2.txt  2010-01-03 14:57

Pre-Run: 30.875.234.304 bytes libres
Post-Run: 30.838.603.776 bytes libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 0F6D1468CC7D89727F32490CE8C81243

unai · Answer

voici le rapoort après que j ai glisser CFScript dans COMBOFix:

ComboFix 10-01-03.01 - Administrador 03/01/2010  22:53:40.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.34.3082.18.1279.891 [GMT 1:00]
Running from: c:\documents and settings\Administrador\Escritorio\Combokill.exe
Command switches used :: c:\documents and settings\Administrador\Escritorio\CFScript.txt

FILE ::
"c:\windows\system32\krl32mainweq.dll"
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\krl32mainweq.dll

.
(((((((((((((((((((((((((   Files Created from 2009-12-03 to 2010-01-03  )))))))))))))))))))))))))))))))
.

2010-01-03 13:46 . 2010-01-03 14:31	--------	d-----w-	c:\archivos de programa\Malwarebytes' Anti-Malware
2010-01-03 13:21 . 2010-01-03 13:21	--------	d-----w-	c:\archivos de programa	rend micro
2010-01-03 13:21 . 2010-01-03 13:21	--------	d-----w-	C:sit
2009-12-11 18:51 . 2009-11-21 15:58	471552	-c----w-	c:\windows\system32\dllcache\aclayers.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-03 21:12 . 2008-07-23 13:23	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\Skype
2010-01-02 22:32 . 2009-11-30 19:49	--------	d-----w-	c:\archivos de programa\adslTV
2009-12-14 22:43 . 2001-08-24 10:00	718794	----a-w-	c:\windows\system32\perfh00A.dat
2009-12-14 22:43 . 2001-08-24 10:00	145046	----a-w-	c:\windows\system32\perfc00A.dat
2009-12-13 18:34 . 2008-07-31 13:43	--------	d-----w-	c:\archivos de programa\Opera
2009-12-02 21:31 . 2009-11-30 18:51	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\vlc
2009-12-02 21:07 . 2009-04-21 18:09	--------	d-----r-	c:\archivos de programa\Skype
2009-12-02 21:06 . 2008-07-23 13:11	--------	d-----w-	c:\documents and settings\All Users\Datos de programa\Skype
2009-11-28 18:26 . 2008-07-23 13:31	--------	d-----w-	c:\archivos de programa\Archivos comunes\Adobe
2009-11-28 11:12 . 2009-11-28 11:12	--------	d-----w-	c:\documents and settings\All Users\Datos de programa\TVU Networks
2009-11-28 11:12 . 2009-09-30 16:20	--------	d-----w-	c:\archivos de programa\TVUPlayer
2009-11-24 19:54 . 2009-11-24 19:54	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\Foxit Software
2009-11-24 19:54 . 2009-11-24 19:31	--------	d-----w-	c:\archivos de programa\Foxit Software
2009-11-24 17:38 . 2008-06-14 14:47	--------	d-----w-	c:\archivos de programa\Windows Live
2009-11-24 17:37 . 2009-03-12 18:28	--------	d-----w-	c:\archivos de programa\Microsoft
2009-11-21 20:24 . 2009-11-21 20:24	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\TVU Networks
2009-11-21 15:58 . 2004-08-19 13:41	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-15 17:29 . 2009-11-15 17:29	--------	d-----w-	c:\archivos de programa\VideoLAN
2009-11-15 17:27 . 2009-09-15 17:54	--------	d-----w-	c:\archivos de programa\SFR
2009-11-11 21:08 . 2008-07-01 22:55	--------	d-----w-	c:\documents and settings\Administrador\Datos de programa\uTorrent
2009-11-11 12:44 . 2008-07-29 17:07	--------	d-----w-	c:\archivos de programa\Micro Application
2009-11-10 23:49 . 2008-07-23 13:09	--------	d-----w-	c:\archivos de programa\Google
2009-11-08 13:18 . 2008-05-02 09:43	--------	d-----w-	c:\archivos de programa\WinTV
2009-11-03 22:10 . 2009-11-03 22:10	152576	----a-w-	c:\documents and settings\Administrador\Datos de programa\Sun\Java\jre1.6.0_17\lzma.dll
2009-10-29 07:43 . 2004-08-19 13:42	832512	------w-	c:\windows\system32\wininet.dll
2009-10-29 07:43 . 2004-08-19 13:42	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-10-29 07:43 . 2004-08-19 13:41	17408	----a-w-	c:\windows\system32\corpol.dll
2009-10-21 05:39 . 2004-08-19 13:42	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-19 13:42	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 21:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-19 17:48 . 2009-10-19 17:28	390	----a-w-	c:\documents and settings\All Users\Datos de programa\Ciel\Données Communes\pdf.dll
2009-10-19 17:21 . 2009-10-19 17:21	2232	----a-w-	c:\windows\java\Packages\Data\1BJ9JD37.DAT
2009-10-19 17:21 . 2009-10-19 17:21	155995	----a-w-	c:\windows\java\Packages\ITNRRXJL.ZIP
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\NZ9BLBVX.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\OGCAOG8T.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\UWJRX7N7.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\M2EZX3LV.DAT
2009-10-19 17:21 . 2009-10-19 17:21	2678	----a-w-	c:\windows\java\Packages\Data\ABXFZDBZ.DAT
2009-10-16 07:50 . 2009-10-16 07:50	2520888	----a-w-	c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l64ag2k6.default\extensions\firefox@tvunetworks.com\plugins
pTVUAx.dll
2009-10-13 10:33 . 2004-08-19 13:42	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-19 13:42	79872	----a-w-	c:\windows\system32aschap.dll
2009-10-12 13:39 . 2004-08-19 13:42	150016	----a-w-	c:\windows\system32astls.dll
2009-10-08 19:41 . 2009-10-08 19:41	4608	----a-w-	c:\windows\system32\w95inf32.dll
2009-10-08 19:41 . 2009-10-08 19:41	2272	----a-w-	c:\windows\system32\w95inf16.dll
2008-08-01 21:45 . 2008-08-01 21:45	1495112	----a-w-	c:\archivos de programa\install_flash_player.exe
2005-05-13 15:12 . 2005-05-13 15:12	217073	--sha-r-	c:\windows\meta4.exe
2005-10-24 09:13 . 2005-10-24 09:13	66560	--sha-r-	c:\windows\MOTA113.exe
2005-10-13 19:27 . 2005-10-13 19:27	422400	--sha-r-	c:\windows\x2.64.exe
2005-10-07 17:14 . 2005-10-07 17:14	308224	--sha-r-	c:\windows\system32\avisynth.dll
2005-07-14 10:31 . 2005-07-14 10:31	27648	--sha-r-	c:\windows\system32\AVSredirect.dll
2005-06-26 13:32 . 2005-06-26 13:32	616448	--sha-r-	c:\windows\system32\cygwin1.dll
2005-06-21 20:37 . 2005-06-21 20:37	45568	--sha-r-	c:\windows\system32\cygz.dll
2004-01-24 22:00 . 2004-01-24 22:00	70656	--sha-r-	c:\windows\system32\i420vfw.dll
2006-04-27 08:24 . 2006-04-27 08:24	2945024	--sha-r-	c:\windows\system32\Smab.dll
2005-02-28 11:16 . 2005-02-28 11:16	240128	--sha-r-	c:\windows\system32\x.264.exe
2004-01-24 22:00 . 2004-01-24 22:00	70656	--sha-r-	c:\windows\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\archivos de programa\SFR\Kit\9props.exe" [2009-06-20 955712]
"msnmsgr"="c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"LMDVox"="c:\archivos de programa\Micro Application\Votre PC prend la parole\LMDVox.exe" [2007-12-18 456704]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-03-18 67584]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08	35696	----a-w-	c:\archivos de programa\Adobe\Reader 9.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:18	15360	------w-	c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-11-13 13:22	1289000	----a-w-	c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44	3883856	----a-w-	c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PD0630 STISvc]
2005-06-05 17:01	36864	----a-r-	c:\windows\system32\P0630Pin.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18	413696	----a-w-	c:\archivos de programa\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Samsung PanelMgr]
2008-08-08 05:27	536576	----a-w-	c:\windows\Samsung\PanelMgr\SSMMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 15:47	25623336	----a-r-	c:\archivos de programa\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23	149280	----a-w-	c:\archivos de programa\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-09-30 21:14	198160	----a-w-	c:\archivos de programa\Archivos comunes\Real\Update_OBealsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\archivos de programa\Microsoft ActiveSyncapimgr.exe"= c:\archivos de programa\Microsoft ActiveSyncapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe"= c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\Archivos de programa\Messenger\msmsgs.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Archivos de programa\VideoLAN\VLC\vlc.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Archivos de programa\uTorrent\uTorrent.exe"=
"c:\Archivos de programa\TVUPlayer\TVUPlayer.exe"=
"c:\Archivos de programa\Windows Live\Messenger\wlcsdk.exe"=
"c:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"c:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe"=
"c:\Archivos de programa\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Archivos de programa\adslTV\adsltv.exe"=
"c:\Archivos de programa\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [12/03/2009 19:31 54752]
R3 HCW713x;Hauppauge 713x VU PCI TV Card;c:\windows\system32\drivers\HCW713x.sys [17/06/2008 16:00 827776]
R3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [05/04/2009 20:54 91841]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 fsssvc;Servicio de Windows Live Protección infantil;c:\archivos de programa\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
S3 maconfservice;Ma-Config Service;c:\archivos de programa\ma-config.com\maconfservice.exe [21/04/2009 14:36 216232]
S3 TwoRabts;Two Rabbits Live Bus;c:\windows\system32\DRIVERS\TwoRabts.sys --> c:\windows\system32\DRIVERS\TwoRabts.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [05/08/2008 11:23 721904]
.
Contents of the 'Scheduled Tasks' folder

2009-12-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.sfr.fr/kit/adsl/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: SmarThru4 Capture Selection - c:\archivos de programa\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Enregistrer au format HTML - c:\archivos de programa\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Enregistrer le texte sélectionné - c:\archivos de programa\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Save as HTML - c:\archivos de programa\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Save Selected Text - c:\archivos de programa\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Sélection par capture - c:\archivos de programa\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Web Capture - c:\archivos de programa\SmarThru 4\WebCapture.dll
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.es/scan_es/scan8/oscan8.cab
DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} - hxxps://register.creative.com/register/OCXs/CtORWebClientNoMFC.cab
FF - ProfilePath - c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l64ag2k6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.msn.fr/
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\archivos de programa\ma-config.com
phardwaredetection.dll
FF - plugin: c:\archivos de programa\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\archivos de programa\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l64ag2k6.default\extensions\firefox@tvunetworks.com\plugins
pTVUAx.dll
FF - plugin: c:\program filesealealplayer\Netscape6
ppl3260.dll
FF - plugin: c:\program filesealealplayer\Netscape6
prjplug.dll
FF - plugin: c:\program filesealealplayer\Netscape6
prpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-03 22:58
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1417001333-2111687655-682003330-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:68,3a,65,64,96,06,27,4d,3a,8c,19,e3,34,4d,86,6a,ed,d8,99,cf,4f,29,d4,
   aa,6a,1e,54,48,d1,69,65,ab,f0,a3,39,69,8d,ff,5c,37,fc,09,94,d5,73,9d,b2,22,\
"??"=hex:e2,3e,9c,5a,0a,ee,54,1b,4f,ce,f0,de,85,ec,8d,58

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"A0C0110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(1260)
c:\windows\system32\WININET.dll
c:\archiv~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Java\jre6\bin\jqs.exe
c:\archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\WgaTray.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\SOUNDMAN.EXE
c:\archiv~1\MI3AA1~1apimgr.exe
.
**************************************************************************
.
Completion time: 2010-01-03  23:03:24 - machine was rebooted
ComboFix-quarantined-files.txt  2010-01-03 22:03
ComboFix2.txt  2010-01-03 21:26
ComboFix3.txt  2010-01-03 14:57

Pre-Run: 30.838.730.752 bytes libres
Post-Run: 30.804.594.688 bytes libres

- - End Of File - - 821EC86BADFCB2CD9F1EC8524C8E30DB

jfkpresident · Answer

Le temps de poster un dernier message :

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

========================================================

- télecharges   WORT (dj QUIOU) sur le Bureau.

-Double-clique sur le fichier WORT.exe et sélectionne le bureau à l'aide du bouton "Browse".
-Suis les instructions et double-clique sur le fichier WareOut_Removal_Tool.bat qui vient d'être créé sur le Bureau.

-Sélectionne l'option 1 et valide par entrée.

- A la fin de l'analyse, postes moi le contenu du rapport qui s'affiche à l'écran

unai · Answer

voici le rapport  apres analyse :

Malwarebytes' Anti-Malware 1.43
Version de la base de données: 3493
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

04/01/2010 21:41:24
mbam-log-2010-01-04 (21-41-24).txt

Type de recherche: Examen complet (C:\|D:\|G:\|)
Eléments examinés: 198449
Temps écoulé: 43 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\cablerouting.cablerouting (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\cablerouting.cablerouting.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Live_TV (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\OOO (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VideoTools (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Live_TV (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live_TV Toolbar (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\OOO (Rogue.LivePlayer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Archivos de programa\Live_TV (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Archivos de programa\Live_TV	bLive.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Archivos de programa\Malware Defense\mdefense.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Archivos de programa\Malware Defense\mdext.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Archivos de programa\Malware Defense\uninstall.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\MSIVXrfunpsoubevvqeqaqagtlhjbtucofoga.dll.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\H8SRTdmrklyfwbi.sys.vir (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{513EE913-8C95-4298-A457-EB7699AA1E87}\RP490\A0113195.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{513EE913-8C95-4298-A457-EB7699AA1E87}\RP490\A0113198.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{513EE913-8C95-4298-A457-EB7699AA1E87}\RP490\A0113235.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{513EE913-8C95-4298-A457-EB7699AA1E87}\RP490\A0113236.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Archivos de programa\Live_TV	oolbar.cfg (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Archivos de programa\Live_TV\UNWISE.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	dsspopup1.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	dsspopup2.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	dsspopup3.url (Malware.Trace) -> Quarantined and deleted successfully.

unai · Answer

Bonsoir,
merci pour votre aide. j ai plus le malware defense sur mon ordi je pense car plus de fenetre qui s ouvre et plus de blocage. mais j ai un message qui me dit que mon windows n est plus valide et mon bureau est devenu noir.
resultat je le trouve très long et quant je bouge les fenetres eh bien ça comme une espece de traces deriere.

c est NORMAL???

jfkpresident · Answer

salut ,je suis de retour ....

tu n'as pas poster le rapport de Wort ?

unai · Answer

bonjour,
c est quoi ce rapport?? ou est ce que je le trouve???
merci enormement pour votre coup de pouce.

jfkpresident · Answer

c est quoi ce rapport?? ou est ce que je le trouve???
merci enormement pour votre coup de pouce.

regarde la 2eme partie du post#23 .

unai · Answer

le rapport wort:

===== Rapport WareOut Removal Tool ===== 
 
version 3.6.2 
 
analyse effectuée le 06/01/2010 à 17:56:44,43 
 
Résultats de l'analyse : 
======================== 
 
~~~~ Recherche d'infections dans C:\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Archivos de programa\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system32\drivers\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\Administrador\Datos de programa\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\Administrador\Bureau\ ~~~~ 
 
 
~~~~ Recherche de détournement de DNS ~~~~ 
 
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Tcpip\Parameters]
    NameServer	REG_SZ	85.255.112.10,85.255.112.133
 
 
~~~~ Recherche de Rootkits ~~~~ 
 
_______________________________________________________________________ 
 
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-06 17:57:11
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

_______________________________________________________________________ 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System	REG_SZ	

 
 
~~~~ Recherche d'infections dans C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\Administrador\Start Menu\Programs\ ~~~~ 
 
 
~~~~ Nettoyage du registre ~~~~ 
 
 
~~~~ Tentative de réparation des entrées suivantes: ~~~~ 
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System" 
 
[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service] 
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service] 
 
~~~~ Vérification: ~~~~ 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System	REG_SZ	

 
 
_________________________________ 
 
développé par http://pc-system.fr 
_________________________________

jfkpresident · Answer

tu peux me recoller un nouveau log RSIT .

unai · Answer

j ai lancé le RSIT et voici le rapport:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrador at 2010-01-06 20:49:54
Microsoft Windows XP Professional Service Pack 3
System drive C: has 26 GB (46%) free of 56 GB
Total RAM: 1279 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:07, on 06/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
C:\Archivos de programa\SFR\Kit\9props.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\MI3AA1~1apimgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Documents and Settings\Administrador\Escritorio\RSIT.exe
C:\Archivos de programa	rend micro\Administrador.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Connexion SFR 9props.exe] "C:\Archivos de programa\SFR\Kit\9props.exe" /trayicon
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LMDVox] C:\Archivos de programa\Micro Application\Votre PC prend la parole\LMDVox.exe Lancement
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Archivos de programa\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Enregistrer au format HTML - C:\Archivos de programa\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Enregistrer le texte sélectionné - C:\Archivos de programa\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Archivos de programa\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Archivos de programa\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Sélection par capture - C:\Archivos de programa\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Web Capture - C:\Archivos de programa\SmarThru 4\WebCapture.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Sélection par capture - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Sélection par capture - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Enregistrer au format HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Enregistrer au format HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Enregistrer le texte sélectionné - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Enregistrer le texte sélectionné - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_1_2_1.cab
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - https://register.creative.com/register/OCXs/CtORWebClientNoMFC.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15106/CTPID.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Archivos de programa\ma-config.com\maconfservice.exe

jfkpresident · Answer

on va pouvoir conclure :

1) télécharge hijackthis ici:hijackthis
ceci est un outil pour diagnostiquer ton pc .

*.Enregistre HJTInstall.exe sur ton bureau
*. Double-clique sur HJTInstall.exe pour lancer le programme
*. Par défaut, il s'installera là C:\Program Files\Trend Micro\HijackThis
*. Accepte la license en cliquant sur le bouton "I Accept"
*. Choisis l'option "Do a system scan and save a log file"
*. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
*. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
*. Colle le rapport que tu viens de copier sur ce forum
*. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

unai · Answer

voici le rapport::


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:08, on 06/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
C:\Archivos de programa\SFR\Kit\9props.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Windows Live\Mail\wlmail.exe
C:\Documents and Settings\Administrador\Escritorio\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sfr.fr/kit/adsl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Connexion SFR 9props.exe] "C:\Archivos de programa\SFR\Kit\9props.exe" /trayicon
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LMDVox] C:\Archivos de programa\Micro Application\Votre PC prend la parole\LMDVox.exe Lancement
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Archivos de programa\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Enregistrer au format HTML - C:\Archivos de programa\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Enregistrer le texte sélectionné - C:\Archivos de programa\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Archivos de programa\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Archivos de programa\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Sélection par capture - C:\Archivos de programa\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Web Capture - C:\Archivos de programa\SmarThru 4\WebCapture.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Sélection par capture - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Sélection par capture - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Enregistrer au format HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Enregistrer au format HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Enregistrer le texte sélectionné - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Enregistrer le texte sélectionné - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Archivos de programa\SmarThru 4\WebCapture.dll (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_1_2_1.cab
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - https://register.creative.com/register/OCXs/CtORWebClientNoMFC.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15106/CTPID.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Archivos de programa\ma-config.com\maconfservice.exe

jfkpresident · Answer

-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :

 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)  
 O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)  
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"       

et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis! 

===========================================

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : 

· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pc-system.fr/
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

=========================================

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain. 

* Désactivation : 
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok. 

* Activation : 
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur.. 

=========================================

Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================

Tu utilises Utorrent ,je te conseillle de lire ceci :

danger du P2P et des cracks

également un exemple concret ici ou l'internaute ne pouvait plus rien faire de sa machine ...

unai · Answer

en clikant sur quitter, j ai pas eu de rapport mais j avais fait copier l analyse avant. je ne sais pas si c est bon. la voila:  


[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\WORT: trouvé !
C:\Archivos de programa	rend micro\HijackThis.exe: trouvé !
C:\Archivos de programa	rend micro\hijackthis.log: trouvé !
C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe: trouvé !
C:\Documents and Settings\Administrador\Escritorio\WareOut Removal Tool.bat: trouvé !
C:\Documents and Settings\Administrador\Escritorio\hijackthis.log: trouvé !
C:\Documents and Settings\Administrador\Escritorio\Rsit.exe: trouvé !
C:\Documents and Settings\Administrador\Escritorio\WORT.exe: trouvé !
C:\Documents and Settings\Administrador\Escritorio\WORT: trouvé !
C:\Documents and Settings\Administrador\Escritorio\WORT\catchme.exe: trouvé !
C:\Documents and Settings\Administrador\Mis documentos\Downloads\WareOut Removal Tool.bat: trouvé !
C:\Documents and Settings\Administrador\Mis documentos\Downloads\WORT.exe: trouvé !
C:\Documents and Settings\Administrador\Mis documentos\Downloads\WORT: trouvé !
C:\Documents and Settings\Administrador\Mis documentos\Downloads\comment se debarrasser de malware\Rsit.exe: trouvé !
C:\Documents and Settings\Administrador\Mis documentos\Downloads\WORT\catchme.exe: trouvé !
C:\Documents and Settings\Administrador\Recent\HijackThis.lnk: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\RECYCLER\S-1-5-21-1417001333-2111687655-682003330-500\Dc11\catchme.exe: trouvé !
C:\RECYCLER\S-1-5-21-1417001333-2111687655-682003330-500\Dc9\catchme.exe: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

unai · Answer

je ne sais pas comment te remercier. t es un crack. j'imagine que t es un informaticien comme même???
Par contre, un message qui me dit que mon windows n est plus valide et mon bureau est devenu noir. je mets des photos comme fond d ecran et il me les zape au bout de 5mn. c est normal??
sinon comment je peux remédier à ça?

unai · Answer

ah, j ai oublier de te demander si je peux desinstaller tout les programme qui ont servi a la réparation qui se trouvent sur mon bureau, ou je dois les garder?

jfkpresident · Answer

je regarde ça demain ...en attendant je vais au lit .

unai · Answer

ta raison, c est l heure, merci et à demain

jfkpresident · Answer

Ah, j ai oublier de te demander si je peux desinstaller tout les programme qui ont servi a la réparation qui se trouvent sur mon bureau, ou je dois les garder?

tu relance toolscleaner et tu clique sur "suppression" a la fin du scan .

Par contre, un message qui me dit que mon windows n est plus valide 

c'est une version légale de xp ?

je mets des photos comme fond d ecran et il me les zape au bout de 5mn

comment fait tu pour changer le papier peint ?

clic droit >>propriétés>>themes>>>parcourir>>choisir photo puis "appliquer"

unai · Answer

bonsoir,
désolé pour tout ce retard. je suis pris par le travail dernièrement.
merci pour ton aide, mon PC fonctionne super bien, sauf qu il est plus long qu avant. 
je crois que mon windows n est original, mais ce qui est bizarre c est que j avais changé la clé et il marchait bien.
aprés la réparation, il accepte plus cette clé.
donc je ne sais pas trop comment pouvoir remédier à ça.

Comment desinstaller malware defense?

41 réponses

Discussions similaires