Virus/trojan=pc qui rame à mort

13verbatim13 Messages postés 55 Statut Membre -  
 gen-hackman -
Bonjour,
mon portable rame sans fin....1h pour réussir à poster ce message !
j'ai fais un scan avec Hijackthis dont voici la copie, merci de me dire quoi faire!!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:29, on 17/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\windows\system32\AccelerometerSt.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\windows\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\windows\system32\agrsmsvc.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\windows\system32\svchost.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\ThisisJacko\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\windows\system32\AccelerometerSt.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\windows\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/...
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {B2CC4BA0-08EB-4AF9-A532-1295DF0C8A07} (WebQuartzX Contrôle) - http://rome:8080/webquartz/ocx/WebQuartz.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = paca.rubis.alize
O17 - HKLM\Software\..\Telephony: DomainName = paca.rubis.alize
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = paca.rubis.alize
O20 - AppInit_DLLs: C:\WINDOWS\system32\APSHook.dll
O20 - Winlogon Notify: OneCard - C:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\windows\system32\agrsmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\XSPAET~1\LOCALS~1\Temp\hpdj.exe (file missing)
O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - C:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

--
End of file - 9498 bytes
Configuration: Windows XP / Internet Explorer 6.0

86 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Le fil porte sur un portable lent et long à répondre, avec un rapport HijackThis de nombreux processus et modules démarrés au boot sous Windows XP SP2. Des échanges se poursuivent sur les solutions, notamment analyses avec Malwarebytes’ Anti-Malware et la détection de rootkit via GMER, ainsi que des conseils de désactivation de certains éléments au démarrage. Plusieurs réponses indiquent que MBAM ne signale pas d’infection et que Spybot et F-Secure coexistent, avec conseils centrés sur la mise à jour logicielle et la gestion des éléments démarrés. En dernier élément utile, des échanges évoquent une détection possible de rootkit MBR par GMER alors que MBAM ne signale pas d’infection, ce qui nuance l’analyse du ralentissement malgré l’absence de menace détectée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    justement a 50 posts a-squared ne servira a rien...
    2
    1. 13verbatim13 Messages postés 55 Statut Membre
       
      le scan sur les 3 fichiers te va (en copier-coller, je ne suis pas sur que ce soit super cool à déchiffrer...) ?
      0
  2. gen-hackman
     
    ce n'est pas apres 50 posts qu'on propose ca !!
    1
  3. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Hello ;

    Télécharge ZhpDiag en cliquant sur ce lien : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur "options"(icone petit tournevis) puis cocher toutes les cases mis a part les 045 et 061 (décoché par défaut).

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php

    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.
    0
  4. 13verbatim13 Messages postés 55 Statut Membre
     
    http://www.cijoint.fr/cjlink.php?file=cj201002/cij4fVJehv.txt
    voici le lien ci-dessus, merci par avance du temps que tu y passes !!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Télécharges ComboFix à partir d'un de ces liens :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    https://forospyware.com
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Et important, enregistre le sur le bureau.

    Avant d'utiliser ComboFix :

    ? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    ? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    la protection en temps réel de ton Antivirus et de tes Antispywares,
    qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
    est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    ? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
    avant de te reconnecter à internet.

    ? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  7. 13verbatim13 Messages postés 55 Statut Membre
     
    voila c fait, cf ci-dessous stp

    ComboFix 10-02-16.03 - xspaeth-adc 17/02/2010 21:10:29.3.1 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1919.1305 [GMT 1:00]
    Lancé depuis: C:\Documents and Settings\xspaeth-adc\Bureau\ComboFix.exe
    AV: F-Secure Anti-Virus for Workstations 7.10 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

    ----- BITS: Il y a peut-être des sites infectés -----

    hxxp://marseille-bck.paca.rubis.alize
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-01-17 au 2010-02-17 ))))))))))))))))))))))))))))))))))))
    .

    2010-02-17 18:57:41 . 2010-02-17 19:08:49 -------- d-----w- C:\Program Files\ZHPDiag
    2010-02-16 19:33:31 . 2010-02-16 19:33:31 -------- d-----w- C:\Documents and Settings\HelpAssistant\UserData
    2010-02-16 19:33:31 . 2010-02-16 19:33:31 -------- d-----w- C:\Documents and Settings\HelpAssistant\Tracing
    2010-01-31 14:10:08 . 2010-01-31 14:10:18 -------- d-----w- C:\Program Files\DivX
    2010-01-31 14:10:08 . 2010-01-31 14:10:08 -------- d-----w- C:\Program Files\Fichiers communs\DivX Shared
    2010-01-29 13:48:40 . 2010-01-29 13:48:40 0 ----a-w- C:\windows\nsreg.dat
    2010-01-29 13:48:38 . 2010-01-29 13:48:38 -------- d-----w- C:\Documents and Settings\xspaeth-adc\Local Settings\Application Data\Mozilla
    2010-01-25 11:05:47 . 2010-01-07 15:07:14 38224 ----a-w- C:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-25 11:05:45 . 2010-01-07 15:07:04 19160 ----a-w- C:\windows\system32\drivers\mbam.sys
    2010-01-25 09:49:39 . 2010-01-25 10:03:48 -------- d-----w- C:\rsit
    2010-01-24 17:08:26 . 2010-01-24 17:08:26 -------- d-----w- C:\Program Files\Trend Micro
    2010-01-23 21:56:55 . 2010-01-24 11:58:29 -------- d-----w- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2010-01-23 21:56:55 . 2010-01-23 21:59:17 -------- d-----w- C:\Program Files\Spybot - Search & Destroy
    2010-01-23 21:44:01 . 2010-01-23 21:44:01 -------- d-----w- C:\Documents and Settings\xspaeth-adc\Application Data\Malwarebytes
    2010-01-23 21:43:46 . 2010-01-23 21:43:46 -------- d-----w- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2010-01-23 21:43:45 . 2010-01-25 11:05:50 -------- d-----w- C:\Program Files\Malwarebytes' Anti-Malware
    2010-01-23 17:00:24 . 2010-01-23 17:00:24 -------- d-----w- C:\Documents and Settings\xspaeth-adc\Application Data\F-Secure

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-16 23:35:25 . 2009-10-26 15:17:44 -------- d-----w- C:\Documents and Settings\xspaeth-adc\Application Data\vlc
    2010-02-16 19:17:19 . 2004-08-05 12:00:00 88042 ----a-w- C:\windows\system32\perfc00C.dat
    2010-02-16 19:17:19 . 2004-08-05 12:00:00 517358 ----a-w- C:\windows\system32\perfh00C.dat
    2010-02-10 14:57:49 . 2009-10-18 15:06:31 -------- d-----w- C:\Documents and Settings\xspaeth-adc\Application Data\dvdcss
    2010-02-08 10:20:11 . 2009-11-04 15:35:04 -------- d-----w- C:\Documents and Settings\xspaeth-adc\Application Data\OpenOffice.org2
    2010-02-08 09:48:03 . 2009-11-04 15:36:30 1 ----a-w- C:\Documents and Settings\xspaeth-adc\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
    2010-01-25 07:51:31 . 2009-10-18 15:29:57 -------- d-----w- C:\Program Files\eMule
    2010-01-23 17:13:51 . 2009-12-22 20:07:18 -------- d-----w- C:\Program Files\Woonoz
    2009-12-31 16:14:12 . 2004-08-05 12:00:00 352640 ----a-w- C:\windows\system32\drivers\srv.sys
    2009-12-23 16:02:10 . 2008-11-27 12:53:43 -------- d-----w- C:\Program Files\Hewlett-Packard
    2009-12-23 16:02:08 . 2009-12-23 16:02:08 82380 ----a-w- C:\windows\system32\drivers\AFS2K.SYS
    2009-12-22 05:41:35 . 2004-08-05 12:00:00 666112 ------w- C:\windows\system32\wininet.dll
    2009-12-22 05:41:30 . 2004-08-05 12:00:00 81920 ----a-w- C:\windows\system32\ieencode.dll
    2009-12-17 07:59:41 . 2008-03-31 08:15:19 347648 ----a-w- C:\windows\system32\mspaint.exe
    2009-12-14 07:36:38 . 2004-08-05 12:00:00 33280 ----a-w- C:\windows\system32\csrsrv.dll
    2009-12-09 10:19:41 . 2004-08-05 12:00:00 2188032 ------w- C:\windows\system32\ntoskrnl.exe
    2009-12-09 10:19:41 . 2004-08-04 00:49:04 2065152 ------w- C:\windows\system32\ntkrnlpa.exe
    2009-12-04 14:41:55 . 2004-08-05 12:00:00 453760 ----a-w- C:\windows\system32\drivers\mrxsmb.sys
    2009-11-27 17:34:49 . 2004-08-05 12:00:00 1297408 ----a-w- C:\windows\system32\quartz.dll
    2009-11-27 17:34:49 . 2004-08-04 00:54:36 17920 ----a-w- C:\windows\system32\msyuv.dll
    2009-11-27 16:38:56 . 2004-08-05 12:00:00 85504 ----a-w- C:\windows\system32\avifil32.dll
    2009-11-27 16:38:56 . 2004-08-05 12:00:00 28672 ----a-w- C:\windows\system32\msvidc32.dll
    2009-11-27 16:38:56 . 2004-08-05 12:00:00 11264 ----a-w- C:\windows\system32\msrle32.dll
    2009-11-27 16:38:56 . 2004-08-04 00:54:30 48128 ----a-w- C:\windows\system32\iyuv_32.dll
    2009-11-27 16:38:56 . 2001-08-23 17:47:20 8704 ----a-w- C:\windows\system32\tsbyuv.dll
    2009-11-21 16:42:10 . 2004-08-05 12:00:00 470528 ----a-w- C:\windows\AppPatch\aclayers.dll
    2006-07-21 08:03:28 . 2009-10-22 07:19:02 360054 ----a-w- C:\Program Files\aa.bmp
    .

    ((((((((((((((((((((((((((((( SnapShot@2010-01-25_18.28.24 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-02-17 17:45:40 . 2010-02-17 17:45:40 16384 C:\windows\temp\Perflib_Perfdata_d7c.dat
    + 2008-11-27 14:40:50 . 2009-05-26 11:40:58 18296 C:\windows\system32\spmsg.dll
    - 2008-11-27 14:40:50 . 2008-07-08 13:03:54 18296 C:\windows\system32\spmsg.dll
    - 2004-08-05 12:00:00 . 2010-01-25 18:29:47 73950 C:\windows\system32\perfc009.dat
    + 2004-08-05 12:00:00 . 2010-02-16 19:17:19 73950 C:\windows\system32\perfc009.dat
    + 2010-01-30 22:53:32 . 2010-01-30 22:53:32 85173 C:\windows\system32\Macromed\Flash\uninstall_plugin.exe
    + 2004-08-04 00:54:36 . 2009-11-27 17:34:49 17920 C:\windows\system32\dllcache\msyuv.dll
    + 2004-08-05 12:00:00 . 2009-11-27 16:38:56 28672 C:\windows\system32\dllcache\msvidc32.dll
    + 2004-08-05 12:00:00 . 2009-11-27 16:38:56 11264 C:\windows\system32\dllcache\msrle32.dll
    - 2004-08-05 12:00:00 . 2004-08-05 12:00:00 11264 C:\windows\system32\dllcache\msrle32.dll
    + 2004-08-04 00:54:30 . 2009-11-27 16:38:56 48128 C:\windows\system32\dllcache\iyuv_32.dll
    + 2004-08-05 12:00:00 . 2009-12-14 07:36:38 33280 C:\windows\system32\dllcache\csrsrv.dll
    - 2004-08-05 12:00:00 . 2009-06-10 14:23:48 85504 C:\windows\system32\dllcache\avifil32.dll
    + 2004-08-05 12:00:00 . 2009-11-27 16:38:56 85504 C:\windows\system32\dllcache\avifil32.dll
    + 2004-08-05 12:00:00 . 2008-11-27 14:37:18 95360 C:\windows\system32\dllcache\atapi.sys
    - 2008-11-27 15:39:31 . 2010-01-13 10:53:48 27136 C:\windows\Installer\{90E0040C-6000-11D3-8CFE-0150048383C9}\oisicon.exe
    + 2008-11-27 15:39:31 . 2010-02-12 13:23:37 27136 C:\windows\Installer\{90E0040C-6000-11D3-8CFE-0150048383C9}\oisicon.exe
    + 2008-11-27 15:39:31 . 2010-02-12 13:23:37 11264 C:\windows\Installer\{90E0040C-6000-11D3-8CFE-0150048383C9}\mspicons.exe
    - 2008-11-27 15:39:31 . 2010-01-13 10:53:48 11264 C:\windows\Installer\{90E0040C-6000-11D3-8CFE-0150048383C9}\mspicons.exe
    - 2008-11-27 15:39:31 . 2010-01-13 10:53:48 12288 C:\windows\Installer\{90E0040C-6000-11D3-8CFE-0150048383C9}\cagicon.exe
    + 2008-11-27 15:39:31 . 2010-02-12 13:23:37 12288 C:\windows\Installer\{90E0040C-6000-11D3-8CFE-0150048383C9}\cagicon.exe
    + 2010-02-12 09:30:08 . 2009-11-27 17:34:49 17920 C:\windows\Driver Cache\i386\msyuv.dll
    + 2010-02-12 09:30:04 . 2009-11-27 16:38:56 48128 C:\windows\Driver Cache\i386\iyuv_32.dll
    + 2001-08-23 17:47:20 . 2009-11-27 16:38:56 8704 C:\windows\system32\dllcache\tsbyuv.dll
    - 2008-11-27 15:39:31 . 2010-01-13 10:53:48 4096 C:\windows\Installer\{90E0040C-6000-11D3-8CFE-0150048383C9}\opwicon.exe
    + 2008-11-27 15:39:31 . 2010-02-12 13:23:37 4096 C:\windows\Installer\{90E0040C-6000-11D3-8CFE-0150048383C9}\opwicon.exe
    + 2010-02-12 09:30:04 . 2009-11-27 16:38:56 8704 C:\windows\Driver Cache\i386\tsbyuv.dll
    + 2009-07-12 00:12:06 . 2009-07-12 00:12:06 632656 C:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcr80.dll
    + 2009-07-12 00:09:20 . 2009-07-12 00:09:20 554832 C:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcp80.dll
    + 2009-07-12 00:08:14 . 2009-07-12 00:08:14 479232 C:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcm80.dll
    + 2008-03-31 08:15:17 . 2008-03-31 08:15:17 297984 C:\windows\system32\termsrv32.dll
    - 2004-08-05 12:00:00 . 2010-01-25 18:29:48 447996 C:\windows\system32\perfh009.dat
    + 2004-08-05 12:00:00 . 2010-02-16 19:17:19 447996 C:\windows\system32\perfh009.dat
    + 2009-10-28 03:40:16 . 2009-10-28 03:40:16 257440 C:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
    + 2004-08-05 12:00:00 . 2009-12-31 16:14:12 352640 C:\windows\system32\dllcache\srv.sys
    + 2008-03-31 08:15:19 . 2009-12-17 07:59:41 347648 C:\windows\system32\dllcache\mspaint.exe
    - 2008-03-31 08:15:19 . 2004-08-05 12:00:00 347648 C:\windows\system32\dllcache\mspaint.exe
    + 2006-05-05 09:41:45 . 2009-12-04 14:41:55 453760 C:\windows\system32\dllcache\mrxsmb.sys
    + 2008-03-31 08:29:24 . 2010-01-25 19:02:16 294912 C:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2010-01-31 14:10:13 . 2010-01-31 14:10:13 169472 C:\windows\Installer\59da27.msi
    + 2008-11-27 15:39:31 . 2010-02-12 13:23:38 794624 C:\windows\Installer\{90E0040C-6000-11D3-8CFE-0150048383C9}\outicon.exe
    - 2008-11-27 15:39:31 . 2010-01-13 10:53:49 794624 C:\windows\Installer\{90E0040C-6000-11D3-8CFE-0150048383C9}\outicon.exe
    - 2008-11-27 15:39:31 . 2010-01-13 10:53:48 135168 C:\windows\Installer\{90E0040C-6000-11D3-8CFE-0150048383C9}\misc.exe
    + 2008-11-27 15:39:31 . 2010-02-12 13:23:37 135168 C:\windows\Installer\{90E0040C-6000-11D3-8CFE-0150048383C9}\misc.exe
    + 2004-10-28 01:14:18 . 2009-12-04 14:41:55 453760 C:\windows\Driver Cache\i386\mrxsmb.sys
    + 2009-10-28 03:40:14 . 2009-10-28 03:40:14 3885984 C:\windows\system32\Macromed\Flash\NPSWF32.dll
    + 2004-08-05 12:00:00 . 2009-11-27 17:34:49 1297408 C:\windows\system32\dllcache\quartz.dll
    + 2008-11-27 16:04:35 . 2009-12-09 10:19:41 2188032 C:\windows\system32\dllcache\ntoskrnl.exe
    - 2008-11-27 16:04:35 . 2009-08-04 17:16:20 2188032 C:\windows\system32\dllcache\ntoskrnl.exe
    - 2008-11-27 16:04:34 . 2009-08-04 17:16:17 2022912 C:\windows\system32\dllcache\ntkrpamp.exe
    + 2008-11-27 16:04:34 . 2009-12-09 10:19:37 2022912 C:\windows\system32\dllcache\ntkrpamp.exe
    + 2008-11-27 16:04:35 . 2009-12-09 10:19:41 2065152 C:\windows\system32\dllcache\ntkrnlpa.exe
    - 2008-11-27 16:04:36 . 2009-08-04 17:16:19 2144768 C:\windows\system32\dllcache\ntkrnlmp.exe
    + 2008-11-27 16:04:36 . 2009-12-09 10:19:37 2144768 C:\windows\system32\dllcache\ntkrnlmp.exe
    + 2010-01-19 16:51:12 . 2010-01-19 16:51:12 5524480 C:\windows\Installer\14706cd.msp
    - 2008-11-27 13:03:47 . 2009-08-04 17:16:20 2188032 C:\windows\Driver Cache\i386\ntoskrnl.exe
    + 2008-11-27 13:03:47 . 2009-12-09 10:19:41 2188032 C:\windows\Driver Cache\i386\ntoskrnl.exe
    + 2008-11-27 13:03:47 . 2009-12-09 10:19:37 2022912 C:\windows\Driver Cache\i386\ntkrpamp.exe
    - 2008-11-27 13:03:47 . 2009-08-04 17:16:17 2022912 C:\windows\Driver Cache\i386\ntkrpamp.exe
    + 2008-11-27 13:03:47 . 2009-12-09 10:19:41 2065152 C:\windows\Driver Cache\i386\ntkrnlpa.exe
    - 2008-11-27 13:03:47 . 2009-08-04 17:16:19 2144768 C:\windows\Driver Cache\i386\ntkrnlmp.exe
    + 2008-11-27 13:03:47 . 2009-12-09 10:19:37 2144768 C:\windows\Driver Cache\i386\ntkrnlmp.exe
    .
    -- Instantané actualisé --
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35:24 90112]
    "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 15:07:20 2260480]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "PTHOSTTR"="C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 14:52:32 145184]
    "CognizanceTS"="C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17:12:00 17920]
    "AccelerometerSysTrayApplet"="C:\windows\system32\AccelerometerSt.exe" [2007-01-24 13:28:58 124928]
    "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 00:28:00 1040384]
    "Cpqset"="C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-05-03 09:52:22 57344]
    "hpWirelessAssistant"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 12:18:36 472776]
    "RoxioDragToDisc"="C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe" [2006-11-08 08:00:00 1116920]
    "QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-11-06 15:34:02 177456]
    "F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.EXE" [2007-11-21 10:25:46 182936]
    "F-Secure TNB"="C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" [2007-11-21 10:25:34 895584]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 01:38:00 34672]
    "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 16:36:48 872448]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2009-07-25 03:23:12 149280]
    "HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 10:40:22 49152]
    "HPDJ Taskbar Utility"="C:\windows\system32\spool\drivers\w32x86\3\hpztsb08.exe" [2003-03-11 10:08:52 172032]
    "DeviceDiscovery"="C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 19:56:10 40960]
    "WatchDog"="C:\Program Files\InterVideo\DVD Check\DVDCheck.exe" [2007-05-23 10:00:08 192512]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\windows\system32\CTFMON.EXE" [2004-08-05 12:00:00 15360]

    C:\Documents and Settings\admin\Menu D‚marrer\Programmes\D‚marrage\
    CCC.lnk - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
    OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    DVD Check.lnk - C:\Program Files\InterVideo\DVD Check\DVDCheck.exe [2008-11-27 192512]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
    2007-02-07 01:30:00 74240 ----a-r- C:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=C:\WINDOWS\system32\APSHook.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Notification Packages REG_MULTI_SZ SbHpNp scecli

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-240932477-1890555809-1926171595-1549\Scripts\Logon\0\0]
    "Script"=LoginScript_marseille.vbs

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "65533:TCP"= 65533:TCP:Services
    "52344:TCP"= 52344:TCP:Services
    "2479:TCP"= 2479:TCP:Services
    "3997:TCP"= 3997:TCP:Services
    "3389:TCP"= 3389:TCP:Remote Desktop
    "7474:TCP"= 7474:TCP:Services

    R0 SafeBoot;SafeBoot;C:\WINDOWS\system32\drivers\SafeBoot.sys [07/02/2007 11:22:46 100495]
    R0 SbAlg;SbAlg;C:\WINDOWS\system32\drivers\SbAlg.sys [09/10/2006 13:31:46 44720]
    R0 SbFsLock;SbFsLock;C:\WINDOWS\system32\drivers\SbFsLock.sys [29/03/2007 16:54:00 13696]
    R1 RsvLock;RsvLock;C:\WINDOWS\system32\drivers\rsvlock.sys [07/02/2007 11:23:20 5808]
    R2 ASBroker;Courtier de session de connexion;C:\windows\System32\svchost.exe -k Cognizance [05/08/2004 13:00:00 14336]
    R2 ASChannel;Canal de communication local;C:\windows\System32\svchost.exe -k Cognizance [05/08/2004 13:00:00 14336]
    R2 HpFkCryptService;Drive Encryption Service;C:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [29/03/2007 17:50:50 221184]
    R2 SWIHPWMI;SWIHPWMI;C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe [04/12/2006 16:13:16 292384]
    R3 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\minifilter\fsgk.sys [27/11/2008 16:04:01 62048]
    R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\drivers\ifxtpm.sys [27/11/2008 15:56:58 41216]
    S3 camfilt2;Hercules Filter Driver;C:\windows\system32\Drivers\camfilt2.sys --> C:\windows\system32\Drivers\camfilt2.sys [?]
    S3 HP24X;HP PC Card Smart Card Reader;C:\WINDOWS\system32\drivers\HP24X.sys [27/11/2008 14:25:49 33024]
    S4 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\win2k\fsfilter.sys [27/11/2008 16:04:01 39776]
    S4 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\win2k\fsrec.sys [27/11/2008 16:04:01 25184]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    Cognizance REG_MULTI_SZ ASBroker ASChannel
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Connection Wizard,ShellNext = iexplore
    DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.20/cfweb_activex.camfrogweb.com-advanced-2.0.2.20_instmodule.exe
    DPF: {B2CC4BA0-08EB-4AF9-A532-1295DF0C8A07} - hxxp://rome:8080/webquartz/ocx/WebQuartz.cab
    FF - ProfilePath - C:\Documents and Settings\xspaeth-adc\Application Data\Mozilla\Firefox\Profiles\fefshlst.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - plugin: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - C:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
    C:\Program Files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
    C:\Program Files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
    .
    0
  8. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Il manque la fin du rapport ..
    0
  9. 13verbatim13 Messages postés 55 Statut Membre
     
    oups dsl j'ai été trop pressé !

    ComboFix 10-02-16.03 - xspaeth-adc 17/02/2010 22:22:23.4.1 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1919.1417 [GMT 1:00]
    Lancé depuis: c:\documents and settings\xspaeth-adc\Bureau\ComboFix.exe
    AV: F-Secure Anti-Virus for Workstations 7.10 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    ---- Exécution préalable -------
    .
    c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
    c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-01-17 au 2010-02-17 ))))))))))))))))))))))))))))))))))))
    .

    2010-02-17 18:57 . 2010-02-17 19:08 -------- d-----w- c:\program files\ZHPDiag
    2010-02-16 19:33 . 2010-02-16 19:33 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
    2010-02-16 19:33 . 2010-02-16 19:33 -------- d-----w- c:\documents and settings\HelpAssistant\Tracing
    2010-01-31 14:10 . 2010-01-31 14:10 -------- d-----w- c:\program files\DivX
    2010-01-31 14:10 . 2010-01-31 14:10 -------- d-----w- c:\program files\Fichiers communs\DivX Shared
    2010-01-29 13:48 . 2010-01-29 13:48 0 ----a-w- c:\windows\nsreg.dat
    2010-01-29 13:48 . 2010-01-29 13:48 -------- d-----w- c:\documents and settings\xspaeth-adc\Local Settings\Application Data\Mozilla
    2010-01-25 11:05 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-25 11:05 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-01-25 09:49 . 2010-01-25 10:03 -------- d-----w- C:\rsit
    2010-01-24 17:08 . 2010-01-24 17:08 -------- d-----w- c:\program files\Trend Micro
    2010-01-23 21:56 . 2010-01-24 11:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-01-23 21:56 . 2010-01-23 21:59 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-01-23 21:44 . 2010-01-23 21:44 -------- d-----w- c:\documents and settings\xspaeth-adc\Application Data\Malwarebytes
    2010-01-23 21:43 . 2010-01-23 21:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-01-23 21:43 . 2010-01-25 11:05 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-01-23 17:00 . 2010-01-23 17:00 -------- d-----w- c:\documents and settings\xspaeth-adc\Application Data\F-Secure

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-16 23:35 . 2009-10-26 15:17 -------- d-----w- c:\documents and settings\xspaeth-adc\Application Data\vlc
    2010-02-16 19:17 . 2004-08-05 12:00 88042 ----a-w- c:\windows\system32\perfc00C.dat
    2010-02-16 19:17 . 2004-08-05 12:00 517358 ----a-w- c:\windows\system32\perfh00C.dat
    2010-02-10 14:57 . 2009-10-18 15:06 -------- d-----w- c:\documents and settings\xspaeth-adc\Application Data\dvdcss
    2010-02-08 10:20 . 2009-11-04 15:35 -------- d-----w- c:\documents and settings\xspaeth-adc\Application Data\OpenOffice.org2
    2010-02-08 09:48 . 2009-11-04 15:36 1 ----a-w- c:\documents and settings\xspaeth-adc\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
    2010-01-25 07:51 . 2009-10-18 15:29 -------- d-----w- c:\program files\eMule
    2010-01-23 17:13 . 2009-12-22 20:07 -------- d-----w- c:\program files\Woonoz
    2009-12-31 16:14 . 2004-08-05 12:00 352640 ----a-w- c:\windows\system32\drivers\srv.sys
    2009-12-23 16:02 . 2008-11-27 12:53 -------- d-----w- c:\program files\Hewlett-Packard
    2009-12-23 16:02 . 2009-12-23 16:02 82380 ----a-w- c:\windows\system32\drivers\AFS2K.SYS
    2009-12-22 05:41 . 2004-08-05 12:00 666112 ------w- c:\windows\system32\wininet.dll
    2009-12-22 05:41 . 2004-08-05 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
    2009-12-17 07:59 . 2008-03-31 08:15 347648 ----a-w- c:\windows\system32\mspaint.exe
    2009-12-14 07:36 . 2004-08-05 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
    2009-12-09 10:19 . 2004-08-05 12:00 2188032 ------w- c:\windows\system32\ntoskrnl.exe
    2009-12-09 10:19 . 2004-08-04 00:49 2065152 ------w- c:\windows\system32\ntkrnlpa.exe
    2009-12-04 14:41 . 2004-08-05 12:00 453760 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2009-11-27 17:34 . 2004-08-05 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll
    2009-11-27 17:34 . 2004-08-04 00:54 17920 ----a-w- c:\windows\system32\msyuv.dll
    2009-11-27 16:38 . 2004-08-05 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
    2009-11-27 16:38 . 2004-08-05 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll
    2009-11-27 16:38 . 2004-08-05 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll
    2009-11-27 16:38 . 2004-08-04 00:54 48128 ----a-w- c:\windows\system32\iyuv_32.dll
    2009-11-27 16:38 . 2001-08-23 17:47 8704 ----a-w- c:\windows\system32\tsbyuv.dll
    2009-11-21 16:42 . 2004-08-05 12:00 470528 ----a-w- c:\windows\AppPatch\aclayers.dll
    2006-07-21 08:03 . 2009-10-22 07:19 360054 ----a-w- c:\program files\aa.bmp
    .

    ((((((((((((((((((((((((((((( SnapShot_2010-02-17_20.14.43 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-02-17 20:19 . 2010-02-17 20:19 16384 c:\windows\temp\Perflib_Perfdata_a48.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]
    "CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]
    "AccelerometerSysTrayApplet"="c:\windows\system32\AccelerometerSt.exe" [2007-01-24 124928]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1040384]
    "Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-05-03 57344]
    "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 472776]
    "RoxioDragToDisc"="c:\program files\Roxio\Drag-to-Disc\DrgToDsc.exe" [2006-11-08 1116920]
    "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-11-06 177456]
    "F-Secure Manager"="c:\program files\F-Secure\Common\FSM32.EXE" [2007-11-21 182936]
    "F-Secure TNB"="c:\program files\F-Secure\FSGUI\TNBUtil.exe" [2007-11-21 895584]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
    "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
    "HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 49152]
    "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb08.exe" [2003-03-11 172032]
    "DeviceDiscovery"="c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 40960]
    "WatchDog"="c:\program files\InterVideo\DVD Check\DVDCheck.exe" [2007-05-23 192512]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

    c:\documents and settings\admin\Menu D‚marrer\Programmes\D‚marrage\
    CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
    OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    DVD Check.lnk - c:\program files\InterVideo\DVD Check\DVDCheck.exe [2008-11-27 192512]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
    2007-02-07 01:30 74240 ----a-r- c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\system32\APSHook.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Notification Packages REG_MULTI_SZ SbHpNp scecli

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-240932477-1890555809-1926171595-1549\Scripts\Logon\0\0]
    "Script"=LoginScript_marseille.vbs

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "65533:TCP"= 65533:TCP:Services
    "52344:TCP"= 52344:TCP:Services
    "2479:TCP"= 2479:TCP:Services
    "3997:TCP"= 3997:TCP:Services
    "3389:TCP"= 3389:TCP:Remote Desktop
    "7474:TCP"= 7474:TCP:Services
    "3246:TCP"= 3246:TCP:Services

    R0 SafeBoot;SafeBoot;c:\windows\system32\drivers\SafeBoot.sys [07/02/2007 11:22 100495]
    R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [09/10/2006 13:31 44720]
    R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [29/03/2007 16:54 13696]
    R1 RsvLock;RsvLock;c:\windows\system32\drivers\rsvlock.sys [07/02/2007 11:23 5808]
    R2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe -k Cognizance [05/08/2004 13:00 14336]
    R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe -k Cognizance [05/08/2004 13:00 14336]
    R2 HpFkCryptService;Drive Encryption Service;c:\program files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [29/03/2007 17:50 221184]
    R2 SWIHPWMI;SWIHPWMI;c:\program files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe [04/12/2006 16:13 292384]
    R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\F-Secure\Anti-Virus\minifilter\fsgk.sys [27/11/2008 16:04 62048]
    R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [27/11/2008 15:56 41216]
    S3 camfilt2;Hercules Filter Driver;c:\windows\system32\Drivers\camfilt2.sys --> c:\windows\system32\Drivers\camfilt2.sys [?]
    S3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [27/11/2008 14:25 33024]
    S4 F-Secure Filter;F-Secure File System Filter;c:\program files\F-Secure\Anti-Virus\win2k\fsfilter.sys [27/11/2008 16:04 39776]
    S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\F-Secure\Anti-Virus\win2k\fsrec.sys [27/11/2008 16:04 25184]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    Cognizance REG_MULTI_SZ ASBroker ASChannel
    .
    Contenu du dossier 'Tâches planifiées'

    2010-02-17 c:\windows\Tasks\Scheduled scanning task.job
    - c:\progra~1\F-Secure\ANTI-V~1\fsav.exe [2008-11-27 10:24]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Connection Wizard,ShellNext = iexplore
    DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.20/cfweb_activex.camfrogweb.com-advanced-2.0.2.20_instmodule.exe
    DPF: {B2CC4BA0-08EB-4AF9-A532-1295DF0C8A07} - hxxp://rome:8080/webquartz/ocx/WebQuartz.cab
    FF - ProfilePath - c:\documents and settings\xspaeth-adc\Application Data\Mozilla\Firefox\Profiles\fefshlst.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-02-17 22:26
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????T??????????????|?M?|?????M?|&?@

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x89A10688]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0xf74dbfc3
    \Driver\ACPI -> ACPI.sys @ 0xf735dcb8
    \Driver\atapi -> atapi.sys @ 0xf72d17b4
    IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x80577916
    \Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x80577916
    NDIS: Réseau local Broadcom 802.11a/b/g -> SendCompleteHandler -> 0x8902c330
    PacketIndicateHandler -> NDIS.sys @ 0xf71c19a1
    SendHandler -> NDIS.sys @ 0xf719f87b
    user & kernel MBR OK

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•9~*]
    "C0400E0900063D11C8EF10054038389C"="C?\\windows\\system32\\FM20ENU.DLL"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(924)
    c:\windows\system32\Ati2evxx.dll
    c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
    c:\program files\Hewlett-Packard\IAM\bin\ItMsg.dll

    - - - - - - - > 'lsass.exe'(984)
    c:\windows\SbHpNp.dll

    - - - - - - - > 'explorer.exe'(2700)
    c:\windows\system32\APSHook.dll
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    Heure de fin: 2010-02-17 22:28:37
    ComboFix-quarantined-files.txt 2010-02-17 21:28
    ComboFix2.txt 2010-01-25 19:18
    ComboFix3.txt 2010-01-25 18:32

    Avant-CF: 1 327 394 816 octets libres
    Après-CF: 1 293 434 880 octets libres

    - - End Of File - - C793894A29833808688A9FD2DD89F521
    0
  10. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Tu es infecté par le rootkit MBR (coriace le type) .

    Télécharge MBR.exe
    Désactive tous les programmes de protection (antivirus, antispyware etc.)
    Double-clique sur mbr.exe.. une fenêtre noire va s'ouvrir et se refermer.
    Un rapport sera généré mbr.log, copie/colle le dans ta prochaine réponse .
    0
  11. 13verbatim13 Messages postés 55 Statut Membre
     
    ok, merci de ton aide d'autant plus alors :-))

    voila le rapport (c bien court non??)

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    0
  12. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Fausse alerte ....

    1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

    https://www.malwarebytes.com/

    3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

    4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

    5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

    6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

    7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    10) Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    12) Ferme MBAM en cliquant sur Quitter.

    13) Poste le rapport dans ta réponse
    0
  13. 13verbatim13 Messages postés 55 Statut Membre
     
    bonjour
    J'ai suivi tes indications, pas de virus détectés. Ceci dit le pc continue à ramer grave, hier soir quelle galère !!Pour ton info, j'avais fais un scan mbam il y a deux jours et 4 saletés avaient été trouvées et zigouillées. Là j'ai refais un scan complet après réinstallation de mbam.
    Voici le rapport.....merci

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3754
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    18/02/2010 11:30:52
    mbam-log-2010-02-18 (11-30-52).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 241368
    Temps écoulé: 35 minute(s), 26 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  14. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    En meme temps ton disque C:\ est presque plein ...Tu as tenter une défragmentation du disque ?

    En attendant :

    Fais ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X : https://www.bitdefender.fr/

    la barre anti-popup du (en haut) va se mettre à clignoter,
    clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
    Une fois qu'il a terminé colle le rapport ici stp

    tutoriel
    0
  15. 13verbatim13 Messages postés 55 Statut Membre
     
    voili voilou le résultant du scan....

    BitDefender Online Scanner
    Rapport d'analyse gnr : Thu, Feb 18, 2010 - 13:38:13

    Voie d'analyse: C:\;D:\;U:\;

    Statistiques
    Temps 01:11:25
    Fichiers 70424
    Directoires 9894
    Secteurs de boot 0
    Archives 1098
    Paquets programmes 4128
    Rsultats
    Virus identifis 1
    Fichiers infects 1
    Fichiers suspects 0
    Avertissements 0
    Dsinfects 0
    Fichiers effacs 1
    Info sur les moteurs
    Dfinition virus 5097040
    Version des moteurs AVCORE v2.1 Windows/i386 11.0.0.33 (Nov 24 2009)
    Analyse des plugins 17
    Archive des plugins 44
    Unpack des plugins 8
    E-mail plugins 6
    Systme plugins 4
    Paramtres d'analyse
    Premire action Désinfecté
    Seconde Action Supprimés
    Heuristique Oui
    Acceptez les avertissements Oui
    Extensions analyses exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
    Excludez les extensions
    Analyse d'emails Oui
    Analyse des Archives Oui
    Analyser paquets programmes Oui
    Analyse des fichiers Oui
    Analyse de boot Oui

    Fichier analys Statut
    C:\System Volume Information\_restore{DDD30EEA-D7E0-47C4-9109-DB4FD2CAB494}\RP1\A0000008.dll Infecté par: Gen:Trojan.Heur.gq8@y8Ln4oli
    C:\System Volume Information\_restore{DDD30EEA-D7E0-47C4-9109-DB4FD2CAB494}\RP1\A0000008.dll Echec de la désinfection
    C:\System Volume Information\_restore{DDD30EEA-D7E0-47C4-9109-DB4FD2CAB494}\RP1\A0000008.dll Supprimé
    0
  16. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    En meme temps ton disque C:\ est presque plein ...Tu as tenter une défragmentation du disque ?

    0
  17. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut JFKP ;) , je peux te piquer le Canned de ZhP diag?
    0
  18. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Salut JFKP ;) , je peux te piquer le Canned de ZhP diag?


    Yes.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      thx ;)
      0
  19. 13verbatim13 Messages postés 55 Statut Membre
     
    ?? je ne saisis pas le sens de ces échanges entre vous deux sur mes messages......
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Pas grave, nous on se comprend ;)
      0
  20. 13verbatim13 Messages postés 55 Statut Membre
     
    je fais quoi maintenant please.....?
    0
  21. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    En meme temps ton disque C:\ est presque plein ...Tu as tenter une défragmentation du disque ?
    0
  • 1
  • 2
  • 3
  • 4
  • 5