"$Recycle.bin" infecté
Résolu
PJDenton
Messages postés
622
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonsoir à tous,
Je recrée un post qui correspond directement à mon problème, avec un titre approprié. Donc pour résumer j'ai un sacré virus que j'ai cru éradiquer avec UsbFix mais qui n'est pas parti entièrement car dans tous les disques dur le sieur $Recycle.bin est toujours infecté et ne peut-être enlevé par UsbFix. J'ai cherché un peu et j'ai découvert ce merveilleux post:
https://forums.commentcamarche.net/forum/affich-10671128-supprimer-fichiers-dans-c-recycle-bin
J'ai suivi les instructions de "bauvasais", et j'ai devant les yeux les fichiers $Recycle.bin de chacun des disques durs infectés. Sauf que, à l'intérieur, il y a la corbeille et elle est vide. Donc, si je reste sur l'idée de "bauvasais", que dois je faire exactement? Supprimer direct $Recycle.bin?
Merci beaucoup d'avance.
Je recrée un post qui correspond directement à mon problème, avec un titre approprié. Donc pour résumer j'ai un sacré virus que j'ai cru éradiquer avec UsbFix mais qui n'est pas parti entièrement car dans tous les disques dur le sieur $Recycle.bin est toujours infecté et ne peut-être enlevé par UsbFix. J'ai cherché un peu et j'ai découvert ce merveilleux post:
https://forums.commentcamarche.net/forum/affich-10671128-supprimer-fichiers-dans-c-recycle-bin
J'ai suivi les instructions de "bauvasais", et j'ai devant les yeux les fichiers $Recycle.bin de chacun des disques durs infectés. Sauf que, à l'intérieur, il y a la corbeille et elle est vide. Donc, si je reste sur l'idée de "bauvasais", que dois je faire exactement? Supprimer direct $Recycle.bin?
Merci beaucoup d'avance.
A voir également:
- Recycle.bin virus
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Softonic virus ✓ - Forum Virus
- Faux message virus iphone ✓ - Forum Virus
- Undisclosed-recipients virus - Guide
98 réponses
Le voici, le rapport de UsFix:
############################## | UsbFix V6.071 |
User : Jean (Administrators) # JEAN-PC
Update on 06/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 09:49:04 | 19/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 297,99 Go (248,43 Go free) # NTFS
D:\ -> Disque fixe local # 465,76 Go (438,13 Go free) [Disque Stockage] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM
############################## | Processus actifs |
C:\Windows\System32\smss.exe 236
C:\Windows\system32\csrss.exe 328
C:\Windows\system32\wininit.exe 400
C:\Windows\system32\csrss.exe 412
C:\Windows\system32\services.exe 448
C:\Windows\system32\lsass.exe 464
C:\Windows\system32\lsm.exe 472
C:\Windows\system32\winlogon.exe 608
C:\Windows\system32\svchost.exe 620
C:\Windows\system32\svchost.exe 708
C:\Windows\system32\atiesrxx.exe 756
C:\Windows\system32\LogonUI.exe 808
C:\Windows\System32\svchost.exe 832
C:\Windows\System32\svchost.exe 884
C:\Windows\system32\svchost.exe 920
C:\Windows\system32\svchost.exe 1088
C:\Windows\system32\atieclxx.exe 1136
C:\Windows\system32\svchost.exe 1228
C:\Windows\System32\spoolsv.exe 1388
C:\Windows\system32\svchost.exe 1424
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe 1512
C:\Windows\system32\sppsvc.exe 1588
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 1756
C:\Windows\system32\taskhost.exe 1844
C:\Windows\system32\userinit.exe 1972
C:\Windows\system32\Dwm.exe 2016
C:\Windows\Explorer.EXE 2036
C:\Windows\system32\runonce.exe 1656
C:\Windows\system32\conhost.exe 2120
C:\Windows\System32\rundll32.exe 2400
C:\Windows\system32\wbem\wmiprvse.exe 2532
################## | Elements infectieux |
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2934038791-3018273096-1024866374-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2934038791-3018273096-1024866374-1000
################## | Registre |
################## | Mountpoints2 |
################## | Listing des fichiers présent |
[10/06/2009 22:42|--a------|24] C:\autoexec.bat
[10/06/2009 22:42|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[?|?|?] C:\pagefile.sys
[19/01/2010 09:50|--a------|2452] C:\UsbFix.txt
[06/01/2010 19:40|--a------|261] D:\dates exams.txt
[23/07/2009 22:09|-rahs----|0] D:\IO.SYS
[23/07/2009 22:09|-rahs----|0] D:\MSDOS.SYS
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
################## | Crack > Keygen > Serial |
################## | Upload |
Veuillez envoyer le fichier : C:\Users\Jean\Desktop\UsbFix_Upload_Me_Jean-PC.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.071 ! |
############################## | UsbFix V6.071 |
User : Jean (Administrators) # JEAN-PC
Update on 06/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 09:49:04 | 19/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 297,99 Go (248,43 Go free) # NTFS
D:\ -> Disque fixe local # 465,76 Go (438,13 Go free) [Disque Stockage] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM
############################## | Processus actifs |
C:\Windows\System32\smss.exe 236
C:\Windows\system32\csrss.exe 328
C:\Windows\system32\wininit.exe 400
C:\Windows\system32\csrss.exe 412
C:\Windows\system32\services.exe 448
C:\Windows\system32\lsass.exe 464
C:\Windows\system32\lsm.exe 472
C:\Windows\system32\winlogon.exe 608
C:\Windows\system32\svchost.exe 620
C:\Windows\system32\svchost.exe 708
C:\Windows\system32\atiesrxx.exe 756
C:\Windows\system32\LogonUI.exe 808
C:\Windows\System32\svchost.exe 832
C:\Windows\System32\svchost.exe 884
C:\Windows\system32\svchost.exe 920
C:\Windows\system32\svchost.exe 1088
C:\Windows\system32\atieclxx.exe 1136
C:\Windows\system32\svchost.exe 1228
C:\Windows\System32\spoolsv.exe 1388
C:\Windows\system32\svchost.exe 1424
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe 1512
C:\Windows\system32\sppsvc.exe 1588
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 1756
C:\Windows\system32\taskhost.exe 1844
C:\Windows\system32\userinit.exe 1972
C:\Windows\system32\Dwm.exe 2016
C:\Windows\Explorer.EXE 2036
C:\Windows\system32\runonce.exe 1656
C:\Windows\system32\conhost.exe 2120
C:\Windows\System32\rundll32.exe 2400
C:\Windows\system32\wbem\wmiprvse.exe 2532
################## | Elements infectieux |
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2934038791-3018273096-1024866374-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2934038791-3018273096-1024866374-1000
################## | Registre |
################## | Mountpoints2 |
################## | Listing des fichiers présent |
[10/06/2009 22:42|--a------|24] C:\autoexec.bat
[10/06/2009 22:42|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[?|?|?] C:\pagefile.sys
[19/01/2010 09:50|--a------|2452] C:\UsbFix.txt
[06/01/2010 19:40|--a------|261] D:\dates exams.txt
[23/07/2009 22:09|-rahs----|0] D:\IO.SYS
[23/07/2009 22:09|-rahs----|0] D:\MSDOS.SYS
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
################## | Crack > Keygen > Serial |
################## | Upload |
Veuillez envoyer le fichier : C:\Users\Jean\Desktop\UsbFix_Upload_Me_Jean-PC.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.071 ! |
Oups j'ai découvert une chose: j'ai tout faux sur $Recycle.bin. Je viens de faire une analyse avec UsbFix sur mon portable qui lui n'est pas infecté (à priori, car il n'a pas d'acitivté suspecte comme l'ordinateur où est apparu le virus)), et il trouve les mêmes fichiers. Donc, fausse piste (à priori).
Bon je fais une récapitualation de la situation:
J'ai essayé, en plus de AVG Free et Spybot, docteur web, Malwarebytes, UsbFix et ZHPDiag qui n'ont rien trouvé, sauf Usbfix avec recycle.bin sur leque je me suis focalisé mais qui ne semble pas être la cause du problème vu que apparemment UsbFix le détecte aussi sur des disques durs à priori non infectés.
En mode sans echec et en tant qu'administrateur, je fais plusieurs analyses avec 4 logiciels différents en suivant l'ordre indiqué par un forum américain:
- Malwarebytes, qui ne détecte rien,
- SUPERAbtiSpyware, qui en plus de 5 "trackers cookies" sans importances détecte un élément infecté dans ce qui est rattaché à la restauration système du disque dur à l'origine de l'infection (d'où mon doûte pour recycle.bin qui est dissipé pour le moment),
- Ccleaner, qui ne trouve aucun trouble dans le registre,
- MV RrgClean, qui a détecté plus d'une centaine d'éléments posant problème
Après tout ça j'ai désactivé la restauration système.
Je refais en mode sans echec en administrateur les 4 analyses cités ci dessus:
- Malwarebytes ne détecte rien,
- SUPERAntiSpyware, qui ne détecte que 4 trackers cookies,
- Ccleaner, qui donne rien,
- MV RgrClean, qui détecte uniquement des cookies et des éléments de Nero 7 comme étant des problèmes (c'est pas nouveau, surtout qu'il est pas compatible avec seven), ainis qu'un fichier dans "History".
J'ai essayé, en plus de AVG Free et Spybot, docteur web, Malwarebytes, UsbFix et ZHPDiag qui n'ont rien trouvé, sauf Usbfix avec recycle.bin sur leque je me suis focalisé mais qui ne semble pas être la cause du problème vu que apparemment UsbFix le détecte aussi sur des disques durs à priori non infectés.
En mode sans echec et en tant qu'administrateur, je fais plusieurs analyses avec 4 logiciels différents en suivant l'ordre indiqué par un forum américain:
- Malwarebytes, qui ne détecte rien,
- SUPERAbtiSpyware, qui en plus de 5 "trackers cookies" sans importances détecte un élément infecté dans ce qui est rattaché à la restauration système du disque dur à l'origine de l'infection (d'où mon doûte pour recycle.bin qui est dissipé pour le moment),
- Ccleaner, qui ne trouve aucun trouble dans le registre,
- MV RrgClean, qui a détecté plus d'une centaine d'éléments posant problème
Après tout ça j'ai désactivé la restauration système.
Je refais en mode sans echec en administrateur les 4 analyses cités ci dessus:
- Malwarebytes ne détecte rien,
- SUPERAntiSpyware, qui ne détecte que 4 trackers cookies,
- Ccleaner, qui donne rien,
- MV RgrClean, qui détecte uniquement des cookies et des éléments de Nero 7 comme étant des problèmes (c'est pas nouveau, surtout qu'il est pas compatible avec seven), ainis qu'un fichier dans "History".
Oki.
Mais le plus important, comment se comporte ton PC? Pas de bugs, pas de lenteurs?
Pour moi rien de problématique.
Juste un doute ici:
Fais analyser ce fichier (celui en gras) sur virus total:
C:\Windows\README.EXE
Tuto.
Fais moi un copier/coller du lien menant vers le rapport dans ta prochaine réponse.
Si besoin est:
Affiche les fichiers et les dossiers cachés de cette manière.
Mais le plus important, comment se comporte ton PC? Pas de bugs, pas de lenteurs?
Pour moi rien de problématique.
Juste un doute ici:
Fais analyser ce fichier (celui en gras) sur virus total:
C:\Windows\README.EXE
Tuto.
Fais moi un copier/coller du lien menant vers le rapport dans ta prochaine réponse.
Si besoin est:
Affiche les fichiers et les dossiers cachés de cette manière.
Le PC n'a en fait jamais eu de ralentissement. Au départ, lorsque le virus était disons très actif, j'avais sans cesse des écrans bleus soudains, au démarrage, à l'arrêt et dés que je déclenchais un programme necessitant un tant soi peu de mémoire vive. Après avoir passé UsbFix, les écrans bleus se sont arrêtés, mais lorsqu'il y avait les écrans bleus, UsbFix détectait plusieurs éléments en dehors de Recycle.Bin. Ce qui me faisait (je dis bien faisais car je n'ai pas eu l'occasion de voir si ça continuait) dire que je suis enocre infecté, c'est que l'ordinateur réflechissait beaucoup sans raisons apparente, bien que n'utilisant parfois que 7% de l'UC, mais des fois bien plus.
Voilà je pense que c'est de ce lien là dont tu parlais:
analisis/2bec2abe9621dbe1c9964874d7fea3f1ce0372692efd7e95cb4352bd891a58c2-1239268890
Du reste, j'ai copié le fichier sur le bureau afin de l'envoyer plus facilement. j'espère que ça ne change rien.
analisis/2bec2abe9621dbe1c9964874d7fea3f1ce0372692efd7e95cb4352bd891a58c2-1239268890
Du reste, j'ai copié le fichier sur le bureau afin de l'envoyer plus facilement. j'espère que ça ne change rien.
Ton lien ne fonctionne pas.
Refais la manip stp, et copie/colle l'adresse depuis la barre d'adresse dans le navigateur, elle devrait être sous cette forme (avec des" T" à la place des" X"):
Refais la manip stp, et copie/colle l'adresse depuis la barre d'adresse dans le navigateur, elle devrait être sous cette forme (avec des" T" à la place des" X"):
hxxp://www.virustotal.com/fr/analisis/42855149b90c059b62ebc4027188361860fb6ffd9e4a2aa074c665181a2b9326-1263908704
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Avec volontiers ^^
Ca nettoiera au moins convenablement le prefetch ;)
Donc après ceci:
Désactive ton antivirus le temps de la manip' ainsi que ton pare-feu si présent.
▶Télécharge List&Kill'em, enregistre le sur ton bureau.
▶Branche tout support USB (clés usb, disques durs externes ,mp3 ,mp4, etc)
Double clique (clic droit "exécuter en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation.
Coche la case "créer une icône sur le bureau"
Une fois terminé , clique sur "terminer" et le programme se lancera seul.
Choisi la langue puis choisi l'option 1 = Mode Recherche
▶Laisse travailler l'outil
A l'apparition de la fenêtre blanche, patiente un peu: c'est normal, le programme n'est pas bloqué.
un rapport du nom de Catchme apparaît sur ton bureau, ignore-le, mais ne le supprime pas pour l'instant.
▶Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"
Tu peux supprimer le rapport Catchme.log de ton bureau maintenant.
Ca nettoiera au moins convenablement le prefetch ;)
Donc après ceci:
Désactive ton antivirus le temps de la manip' ainsi que ton pare-feu si présent.
▶Télécharge List&Kill'em, enregistre le sur ton bureau.
▶Branche tout support USB (clés usb, disques durs externes ,mp3 ,mp4, etc)
Double clique (clic droit "exécuter en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation.
Coche la case "créer une icône sur le bureau"
Une fois terminé , clique sur "terminer" et le programme se lancera seul.
Choisi la langue puis choisi l'option 1 = Mode Recherche
▶Laisse travailler l'outil
A l'apparition de la fenêtre blanche, patiente un peu: c'est normal, le programme n'est pas bloqué.
un rapport du nom de Catchme apparaît sur ton bureau, ignore-le, mais ne le supprime pas pour l'instant.
▶Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"
Tu peux supprimer le rapport Catchme.log de ton bureau maintenant.
Et voilà le rapport de List&Kill'em (et que l'on m'excuse, mais les patchs officiels des jeux ne sont pas des cracks!):
List'em by g3n-h@ckm@n 1.2.0.0
thx to CCM team.....
User : Jean (Administrators)
Update on 19/01/2010 by g3n-h@ckm@n ::::: 15:30
Start at: 15:46:43 | 19/01/2010
Contact : g3n-h@ckm@n sur CCM
Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Disabled
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 297,99 Go (248,42 Go free) | NTFS
D:\ -> Disque fixe local | 465,76 Go (438,13 Go free) [Disque Stockage] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\taskhost.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Windows\System32\StikyNot.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10d.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Jean\AppData\Local\Temp\E291.tmp\pv.exe
======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
SUPERAntiSpyware REG_SZ C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
RESTART_STICKY_NOTES REG_SZ C:\Windows\System32\StikyNot.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
CmPCIaudio REG_SZ RunDll32 cmicnfg3.cpl,CMICtrlWnd
ATICustomerCare REG_SZ "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
NeroFilterCheck REG_SZ C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 5 (0x5)
ConsentPromptBehaviorUser REG_DWORD 3 (0x3)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 1 (0x1)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableUIADesktopToggle REG_DWORD 0 (0x0)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 1 (0x1)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)
===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 128 (0x80)
NoDriveTypeAutoRun REG_DWORD 128 (0x80)
HonorAutoRunSetting REG_DWORD 0 (0x0)
===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 128 (0x80)
NoDriveTypeAutoRun REG_DWORD 128 (0x80)
HonorAutoRunSetting REG_DWORD 0 (0x0)
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ
===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} REG_SZ
===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}
===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}
==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
Ndisuio : 0x3
EapHost : 0x3
Wlansvc : 0x2
SharedAccess : 0x4
windefend : 0x2
wuauserv : 0x2
wscsvc : 0x2
=========
Atapi.sys
=========
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Jean\AppData\Local\Temp\E291.tmp
## C:\> hashdeep C:\Windows\System32\Drivers\atapi.sys
##
21584,338c86357871c167a96ab976519bf59e,f28cc534523d1701b0552f5d7e18e88369c4218bdb1f69110c3e31d395884ad6,C:\Windows\System32\Drivers\atapi.sys
=======
Drive :
=======
D‚fragmenteur de disque Microsoft
Copyright (c) 2007 Microsoft Corp.
Invocation de analyse sur (C:)...
L'op‚ration a r‚ussi.
Post Defragmentation Report:
Informations sur le volumeÿ:
Taille du volume = 297,99 Go
Espace libre = 248,42 Go
Quantit‚ totale d'espace fragment‚ = 29%
Taille maximale d'espace libre = 128,38 Go
Remarqueÿ: les fragments de fichier de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.
Il est recommand‚ de d‚fragmenter ce volume.
¤¤¤¤¤¤¤¤¤¤ Files/folders :
¤¤¤¤¤¤¤¤¤¤ Keys :
================
Other infections
================
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-19 15:50:57
Windows 6.1.7600 NTFS
detected NTDLL code modification:
ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != 50, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != 179, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
==========
Programs
==========
505games
Adobe
ATI
ATI Technologies
AVG
Axon Data
Bethesda Softworks
CCleaner
Common Files
DAEMON Tools Lite
desktop.ini
DVD Maker
EA GAMES
Free Audio Pack
InstallShield Installation Information
Internet Explorer
List_Kill'em
Logitech
Malwarebytes' Anti-Malware
Marcos Velasco Security
Microsoft
Microsoft CAPICOM 2.1.0.2
Microsoft Games
Microsoft Games for Windows - LIVE
MSBuild
MSXML 4.0
Nero
Reference Assemblies
Sierra Entertainment
Spybot - Search & Destroy
Steam
SUPERAntiSpyware
THQ
trend micro
TV
Uninstall Information
uTorrent
VideoLAN
Windows Defender
Windows Journal
Windows Live
Windows Live SkyDrive
Windows Mail
Windows Media Player
Windows NT
Windows Photo Viewer
Windows Portable Devices
Windows Sidebar
WinRAR
ZHPDiag
============
Lecteur C:
============
$AVG
$Recycle.Bin
ATI
autoexec.bat
autorun.inf
config.sys
DirectX11
Documents and Settings
hiberfil.sys
Kill'em
List'em.txt
pagefile.sys
PerfLogs
Program Files
ProgramData
Recovery
rsit
System Volume Information
UsbFix
UsbFix.txt
Users
Windows
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials
C:\ProgramData\Age of Empires 3\Patches
C:\Users\All Users\Age of Empires 3\Patches
C:\Users\Jean\Documents\my games\Company of Heroes\Patch
D:\Sauvegarde donn‚es\Sauvegardes jeux\Company of Heroes\Patch
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
List'em by g3n-h@ckm@n 1.2.0.0
thx to CCM team.....
User : Jean (Administrators)
Update on 19/01/2010 by g3n-h@ckm@n ::::: 15:30
Start at: 15:46:43 | 19/01/2010
Contact : g3n-h@ckm@n sur CCM
Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Disabled
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 297,99 Go (248,42 Go free) | NTFS
D:\ -> Disque fixe local | 465,76 Go (438,13 Go free) [Disque Stockage] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\taskhost.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Windows\System32\StikyNot.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10d.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Jean\AppData\Local\Temp\E291.tmp\pv.exe
======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
SUPERAntiSpyware REG_SZ C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
RESTART_STICKY_NOTES REG_SZ C:\Windows\System32\StikyNot.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
CmPCIaudio REG_SZ RunDll32 cmicnfg3.cpl,CMICtrlWnd
ATICustomerCare REG_SZ "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
NeroFilterCheck REG_SZ C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 5 (0x5)
ConsentPromptBehaviorUser REG_DWORD 3 (0x3)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 1 (0x1)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableUIADesktopToggle REG_DWORD 0 (0x0)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 1 (0x1)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)
===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 128 (0x80)
NoDriveTypeAutoRun REG_DWORD 128 (0x80)
HonorAutoRunSetting REG_DWORD 0 (0x0)
===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 128 (0x80)
NoDriveTypeAutoRun REG_DWORD 128 (0x80)
HonorAutoRunSetting REG_DWORD 0 (0x0)
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ
===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} REG_SZ
===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}
===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}
==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
Ndisuio : 0x3
EapHost : 0x3
Wlansvc : 0x2
SharedAccess : 0x4
windefend : 0x2
wuauserv : 0x2
wscsvc : 0x2
=========
Atapi.sys
=========
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Jean\AppData\Local\Temp\E291.tmp
## C:\> hashdeep C:\Windows\System32\Drivers\atapi.sys
##
21584,338c86357871c167a96ab976519bf59e,f28cc534523d1701b0552f5d7e18e88369c4218bdb1f69110c3e31d395884ad6,C:\Windows\System32\Drivers\atapi.sys
=======
Drive :
=======
D‚fragmenteur de disque Microsoft
Copyright (c) 2007 Microsoft Corp.
Invocation de analyse sur (C:)...
L'op‚ration a r‚ussi.
Post Defragmentation Report:
Informations sur le volumeÿ:
Taille du volume = 297,99 Go
Espace libre = 248,42 Go
Quantit‚ totale d'espace fragment‚ = 29%
Taille maximale d'espace libre = 128,38 Go
Remarqueÿ: les fragments de fichier de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.
Il est recommand‚ de d‚fragmenter ce volume.
¤¤¤¤¤¤¤¤¤¤ Files/folders :
¤¤¤¤¤¤¤¤¤¤ Keys :
================
Other infections
================
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-19 15:50:57
Windows 6.1.7600 NTFS
detected NTDLL code modification:
ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != 50, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != 179, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
==========
Programs
==========
505games
Adobe
ATI
ATI Technologies
AVG
Axon Data
Bethesda Softworks
CCleaner
Common Files
DAEMON Tools Lite
desktop.ini
DVD Maker
EA GAMES
Free Audio Pack
InstallShield Installation Information
Internet Explorer
List_Kill'em
Logitech
Malwarebytes' Anti-Malware
Marcos Velasco Security
Microsoft
Microsoft CAPICOM 2.1.0.2
Microsoft Games
Microsoft Games for Windows - LIVE
MSBuild
MSXML 4.0
Nero
Reference Assemblies
Sierra Entertainment
Spybot - Search & Destroy
Steam
SUPERAntiSpyware
THQ
trend micro
TV
Uninstall Information
uTorrent
VideoLAN
Windows Defender
Windows Journal
Windows Live
Windows Live SkyDrive
Windows Mail
Windows Media Player
Windows NT
Windows Photo Viewer
Windows Portable Devices
Windows Sidebar
WinRAR
ZHPDiag
============
Lecteur C:
============
$AVG
$Recycle.Bin
ATI
autoexec.bat
autorun.inf
config.sys
DirectX11
Documents and Settings
hiberfil.sys
Kill'em
List'em.txt
pagefile.sys
PerfLogs
Program Files
ProgramData
Recovery
rsit
System Volume Information
UsbFix
UsbFix.txt
Users
Windows
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials
C:\ProgramData\Age of Empires 3\Patches
C:\Users\All Users\Age of Empires 3\Patches
C:\Users\Jean\Documents\my games\Company of Heroes\Patch
D:\Sauvegarde donn‚es\Sauvegardes jeux\Company of Heroes\Patch
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Virus total ne semble rien avoir trouvé, quand à List&kill'em je ne vois pas comment on peut voir qu'il y a une infection... Dans tous les cas, avec l'activité que je fais en ce moment (analyses, navigation internet etc...), l'UC utilisé me fait penser au calme d'un cimetière. Peut-être que j'ai effacé le virus après tout. Aucune certitude, mais comme recycler.bin n'est pas responsable... Je vous prierais quand même de me dire ce que vous pouvez trouver dans mon rapport de List&kill'em.
non mais en tous cas j y ai vu que des services ne sont pas conformes (et sur mon atapi.sys de Windows 7/32b , le MD5 est differents....):
Ndisuio : 0x3
EapHost : 0x3
Wlansvc : 0x2
SharedAccess : 0x4
windefend : 0x2
wuauserv : 0x2
wscsvc : 0x2
▶ Télécharge FindyKill sur ton bureau :
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
! Déconnecte toi et ferme toutes applications en cours !
▶ Double clique (clic droit "en tant qu'administrateur" pour Vista) sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .
▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
▶ Double-clique (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Ndisuio : 0x3
EapHost : 0x3
Wlansvc : 0x2
SharedAccess : 0x4
windefend : 0x2
wuauserv : 0x2
wscsvc : 0x2
▶ Télécharge FindyKill sur ton bureau :
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
! Déconnecte toi et ferme toutes applications en cours !
▶ Double clique (clic droit "en tant qu'administrateur" pour Vista) sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .
▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
▶ Double-clique (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Et voici le rapport:
############################## | FindyKill V5.024 |
# User : Jean (Administrators) # JEAN-PC
# Update on 09/01/2010 by El Desaparecido
# Start at: 17:49:02 | 19/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
# Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 297,99 Go (248,36 Go free) # NTFS
# D:\ # Disque fixe local # 465,76 Go (438,13 Go free) [Disque Stockage] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# J:\ # Disque CD-ROM
############################## | Processus actifs |
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\taskhost.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\explorer.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
################## | C: |
################## | C:\Windows |
################## | C:\Windows\Prefetch |
Présent ! C:\Windows\Prefetch\KEYGEN.EXE-4FC15207.pf
################## | C:\Windows\system32 |
################## | C:\Windows\system32\drivers |
################## | C:\Users\Jean\AppData\Roaming |
################## | Temporary Internet Files |
################## | Registre |
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Uac : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks > Keygens > Serials |
################## | ! Fin du rapport # FindyKill V5.024 ! |
############################## | FindyKill V5.024 |
# User : Jean (Administrators) # JEAN-PC
# Update on 09/01/2010 by El Desaparecido
# Start at: 17:49:02 | 19/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
# Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 297,99 Go (248,36 Go free) # NTFS
# D:\ # Disque fixe local # 465,76 Go (438,13 Go free) [Disque Stockage] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# J:\ # Disque CD-ROM
############################## | Processus actifs |
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\taskhost.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\explorer.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
################## | C: |
################## | C:\Windows |
################## | C:\Windows\Prefetch |
Présent ! C:\Windows\Prefetch\KEYGEN.EXE-4FC15207.pf
################## | C:\Windows\system32 |
################## | C:\Windows\system32\drivers |
################## | C:\Users\Jean\AppData\Roaming |
################## | Temporary Internet Files |
################## | Registre |
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Uac : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks > Keygens > Serials |
################## | ! Fin du rapport # FindyKill V5.024 ! |
########### [ Option 2 ( Suppression ) ]
▶ Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .
▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
▶ Relance "FindyKill" (clic droit "en tant qu'administrateur" pour Vista): au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu choisis l'option 2 (suppression) et tape sur [entrée]
▶ Le pc va redémarrer automatiquement ...
▶ le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !
▶ Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
▶ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide
▶ Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .
▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
▶ Relance "FindyKill" (clic droit "en tant qu'administrateur" pour Vista): au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu choisis l'option 2 (suppression) et tape sur [entrée]
▶ Le pc va redémarrer automatiquement ...
▶ le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !
▶ Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
▶ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide
Je vous dis pas la lenteur du logiciel. Du reste, ayant réussi à enregistrer le rapport sur le bureau (oui même si il est déjà enregistré ailleurs), ce dernier a mis un temps pas possible à réapparaitre, et j'ai dû redémarrer l'ordi y'avait une utilisation de l'UC à 100% tout le temps. Voilà le rapport:
############################## | FindyKill V5.024 |
# User : Jean (Administrators) # JEAN-PC
# Update on 09/01/2010 by El Desaparecido
# Start at: 18:00:04 | 19/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
# Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 297,99 Go (248,36 Go free) # NTFS
# D:\ # Disque fixe local # 465,76 Go (438,13 Go free) [Disque Stockage] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# J:\ # Disque CD-ROM
############################## | Processus actifs |
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atiesrxx.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\sppsvc.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
################## | C: |
################## | C:\Windows |
################## | C:\Windows\Prefetch |
Supprimé ! C:\Windows\Prefetch\KEYGEN.EXE-4FC15207.pf
################## | C:\Windows\system32 |
################## | C:\Windows\system32\drivers |
################## | C:\Users\Jean\AppData\Roaming |
################## | Autres suppressions ... |
################## | Temporary Internet Files |
################## | Registre |
################## | Etat |
# Mode sans echec : OK
# Affichage des fichiers cachés : OK
# Uac : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | PEH |
################## | Cracks > Keygens > Serials |
################## | ! Fin du rapport # FindyKill V5.024 ! |
############################## | FindyKill V5.024 |
# User : Jean (Administrators) # JEAN-PC
# Update on 09/01/2010 by El Desaparecido
# Start at: 18:00:04 | 19/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
# Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 297,99 Go (248,36 Go free) # NTFS
# D:\ # Disque fixe local # 465,76 Go (438,13 Go free) [Disque Stockage] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# J:\ # Disque CD-ROM
############################## | Processus actifs |
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atiesrxx.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\sppsvc.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
################## | C: |
################## | C:\Windows |
################## | C:\Windows\Prefetch |
Supprimé ! C:\Windows\Prefetch\KEYGEN.EXE-4FC15207.pf
################## | C:\Windows\system32 |
################## | C:\Windows\system32\drivers |
################## | C:\Users\Jean\AppData\Roaming |
################## | Autres suppressions ... |
################## | Temporary Internet Files |
################## | Registre |
################## | Etat |
# Mode sans echec : OK
# Affichage des fichiers cachés : OK
# Uac : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | PEH |
################## | Cracks > Keygens > Serials |
################## | ! Fin du rapport # FindyKill V5.024 ! |
Et hop encore une rapport de RSIT:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Jean at 2010-01-19 19:08:57
Microsoft Windows 7 Édition Intégrale Service Pack 2
System drive C: has 254 GB (83%) free of 305 GB
Total RAM: 3327 MB (70% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:09:53, on 19/01/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Jean\Downloads\RSIT.exe
C:\Program Files\trend micro\Jean.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
Logfile of random's system information tool 1.06 (written by random/random)
Run by Jean at 2010-01-19 19:08:57
Microsoft Windows 7 Édition Intégrale Service Pack 2
System drive C: has 254 GB (83%) free of 305 GB
Total RAM: 3327 MB (70% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:09:53, on 19/01/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Jean\Downloads\RSIT.exe
C:\Program Files\trend micro\Jean.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
J'hallucine! J'ai dû passé une 30aine d'heures à essayer d'enlever ces virus, j'ai téléchargé et exécuté 10 logiciels antivirus et spyware, j'ai mobilisé plusieurs membres de comment ça marche, et on sait toujours pas ce que c'est que cette saloperie ni où elle est ou comment l'enlever!
Bon mes biens chers amis,
Je pense avoir suffisamment abusé de votre temps, de vos compétences, de votre patience et de votre gentillesse. Il me parait illusoire de croire qu'on pourra ne serait ce que savoir de quel virus il s'agit. Je vous remercie donc, gen-hackman, Trying 2, stege p p, et fabul, pour votre aide et vos efforts. Si malgré tout vous voulez continuer à essayer de m'aider, je vous en serais très reconnaissant, mais je ne vous en voudrais pas d'abandonner. Quelle que soit votre décision, arrivé à ce point, je vous prierais de me la faire savoir.
Je pense avoir suffisamment abusé de votre temps, de vos compétences, de votre patience et de votre gentillesse. Il me parait illusoire de croire qu'on pourra ne serait ce que savoir de quel virus il s'agit. Je vous remercie donc, gen-hackman, Trying 2, stege p p, et fabul, pour votre aide et vos efforts. Si malgré tout vous voulez continuer à essayer de m'aider, je vous en serais très reconnaissant, mais je ne vous en voudrais pas d'abandonner. Quelle que soit votre décision, arrivé à ce point, je vous prierais de me la faire savoir.
Ta demande tombe tard; j'ai effacé tout le système et les deux disques dur, et je viens de finir de les réinstaller. Mais quelque chose tourne pas rond. Quand je branche le disque dur externe (où j'avais sauvegardé mes cours enregistrés de la fac, mais qui tourne entre plusieurs mains), je ne peux pas le déconnecter window (XP j'ai mis deux partitions, une de seven et une de XP) me dit que c'est pas possible. Il n'y a pas de programmes se servant du disque dur alors y'a encore une saloperie quelque part! Si tu veux, je peux quand même enquêter sur ce fichier, si toutefois il est toujours là, et s'il n'a pas changé avec le reboot du système.
J'ai recherché à tout hasard ce fichier Log.txt. Là, en faisant une recherche de XP mais dans tous les disques durs, il n'y a que deux fichiers semblables, l'un rattaché à RSIT, et l'autre rattaché à des fichiers sauvegardes d'un jeu.
Je ne comprends pas ce qui se passe, je ne sais même pas si je suis infecté ou non. La diode du disque dur externe clignote une fois de temps en temps alors que je ne fais rien avec. Tu crois que c'est l'œuvre d'un virus? J'ai déjà analysé l'ordi avec RSIT, UsbFix, Malwarebytes, et Superantispyware sans qu'aucun d'eux ne trouve quoi que ce soit. Par contre Dr Web me signale une modification suspecte d'un fichier HOSTS, avec une analyse rapide.
Je ne comprends pas ce qui se passe, je ne sais même pas si je suis infecté ou non. La diode du disque dur externe clignote une fois de temps en temps alors que je ne fais rien avec. Tu crois que c'est l'œuvre d'un virus? J'ai déjà analysé l'ordi avec RSIT, UsbFix, Malwarebytes, et Superantispyware sans qu'aucun d'eux ne trouve quoi que ce soit. Par contre Dr Web me signale une modification suspecte d'un fichier HOSTS, avec une analyse rapide.
Bon c'est bon j'ai lu autre part sur le forum que Dr Web croit voir des virus mais ça n'en est pas. Bon, comme j'ai toujours la ferme impression (depuis la partition de XP du moins parce que sur seven c'est pas flagrant) que mon ordi a des activités suspectes, je vous demande encore votre aide pour savoir si y'a un truc. Demandez moi tous les rapports que vous voudrez.
