A voir également:
- Reg_sz virus
- Svchost.exe virus - Guide
- Youtu.be virus - Guide
- Faux message virus iphone - Forum iPhone
- Faux message virus ordinateur - Guide
- Tinyurl.com virus - Forum Virus
30 réponses
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
24 févr. 2010 à 18:22
24 févr. 2010 à 18:22
Salut,
Télécharge RegRun Reanimator (Par Greatis Software).
Installe le.
Clic sur scan for viruses.
Clic sur scan windows startup.
Coche la case "Use deep level scanning once".
Clic sur "Make scan now".
Clic sur la flèche verte "Fix problems".
Si il propose Regguard,répond simplement Non,ou peu importe,c'est a ta discretion.
Clic-droit sur le nom du premier item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé 1.txt (Par défaut dans "Mes Documents")
Clic sur la flèche verte (en haut a droite) pour l'item suivant
Clic-droit sur le nom du deuxième item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le deuxième résultat dans un fichier nommé 2.txt
Ainsi de suite jusqu'au dernier ensuite,choisit "Exit" quand il te le sera proposé.
Et poste les résultats contenus dans les fichiers 1.txt 2.txt 3.txt....
Poste tes autres résultats sur Cijoint.fr coche la case Rendre public et met les liens pour qu'on puisse y accéder.
Télécharge RegRun Reanimator (Par Greatis Software).
Installe le.
Clic sur scan for viruses.
Clic sur scan windows startup.
Coche la case "Use deep level scanning once".
Clic sur "Make scan now".
Clic sur la flèche verte "Fix problems".
Si il propose Regguard,répond simplement Non,ou peu importe,c'est a ta discretion.
Clic-droit sur le nom du premier item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé 1.txt (Par défaut dans "Mes Documents")
Clic sur la flèche verte (en haut a droite) pour l'item suivant
Clic-droit sur le nom du deuxième item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le deuxième résultat dans un fichier nommé 2.txt
Ainsi de suite jusqu'au dernier ensuite,choisit "Exit" quand il te le sera proposé.
Et poste les résultats contenus dans les fichiers 1.txt 2.txt 3.txt....
Poste tes autres résultats sur Cijoint.fr coche la case Rendre public et met les liens pour qu'on puisse y accéder.
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
24 févr. 2010 à 18:55
24 févr. 2010 à 18:55
Le raccourci de Reanimator se trouve dans le menu démarrer/Programmes.
Refait la mème manip et supprime celui la en utilisant "Get it Out",confirme et "Reboot"
Item Name: 4F411EFE57.sys
Author: Unknown
Related File: C:\Windows\system32\4F411EFE57.sys
Type: Detected using Heuristic Algorithm
Il me semble qu'il manque quelque chose pour que ce soit complet,peut ètre que tu l'a supprimé autrement en attendant.
Fait une analyse avec Malwarebytes,supprime la sélection trouvée et poste le résultat.
Connait tu la raison de la présence de ce fichier?
Item Name: D:\desktop.ini
Author: Unknown
Related File: D:\desktop.ini
Type: Autorun.inf
Refait la mème manip et supprime celui la en utilisant "Get it Out",confirme et "Reboot"
Item Name: 4F411EFE57.sys
Author: Unknown
Related File: C:\Windows\system32\4F411EFE57.sys
Type: Detected using Heuristic Algorithm
Il me semble qu'il manque quelque chose pour que ce soit complet,peut ètre que tu l'a supprimé autrement en attendant.
Fait une analyse avec Malwarebytes,supprime la sélection trouvée et poste le résultat.
Connait tu la raison de la présence de ce fichier?
Item Name: D:\desktop.ini
Author: Unknown
Related File: D:\desktop.ini
Type: Autorun.inf
voici le rapport de malwarebytes ya rien encore une fois mais le virus se declenche toujours avec avast
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3784
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882
24/02/2010 19:19:01
mbam-log-2010-02-24 (19-19-01).txt
Type de recherche: Examen rapide
Eléments examinés: 113776
Temps écoulé: 8 minute(s), 45 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3784
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882
24/02/2010 19:19:01
mbam-log-2010-02-24 (19-19-01).txt
Type de recherche: Examen rapide
Eléments examinés: 113776
Temps écoulé: 8 minute(s), 45 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
24 févr. 2010 à 19:23
24 févr. 2010 à 19:23
Rafait
Clic sur scan for viruses.
Clic sur scan windows startup.
Coche la case "Use deep level scanning once".
*Clic sur "Reboot" plutot que "Make scan now"*
Trouve des nouveaux résultats,et poste les sur le forum dans ta prochaine réponse.
Clic sur scan for viruses.
Clic sur scan windows startup.
Coche la case "Use deep level scanning once".
*Clic sur "Reboot" plutot que "Make scan now"*
Trouve des nouveaux résultats,et poste les sur le forum dans ta prochaine réponse.
ok j'ai refait ya toujours les 7 meme items qui ressortent, la je fait un "examen complet" avec malawarebyte parce qu'avant j'avait fait "examen rapide".
mais cet apres midi j'ai utilisé usbfix mais au lieu de faire recherche j'ai fait direct supprimer je sais pas si cela change qlq chose ?
le virus est peut etre un faut positif ?
mais cet apres midi j'ai utilisé usbfix mais au lieu de faire recherche j'ai fait direct supprimer je sais pas si cela change qlq chose ?
le virus est peut etre un faut positif ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
24 févr. 2010 à 19:52
24 févr. 2010 à 19:52
Il faudrait l'envoyer sur VirusTotal pour avoir une meilleure idée de la chose,
Donne moi le lien après l'analyse.
Cette chose n'était probablement pas un hazard,mais il manque quelque chose concernant une tache planifiée d'un .exe ou quelque chose du genre qu'on aurait normalement du voir.
Item Name: 4F411EFE57.sys
Author: Unknown
Related File: C:\Windows\system32\4F411EFE57.sys
Type: Detected using Heuristic Algorithm
Poste tes Logs RSIT sur Cijoint.fr.
Donne moi le lien après l'analyse.
Cette chose n'était probablement pas un hazard,mais il manque quelque chose concernant une tache planifiée d'un .exe ou quelque chose du genre qu'on aurait normalement du voir.
Item Name: 4F411EFE57.sys
Author: Unknown
Related File: C:\Windows\system32\4F411EFE57.sys
Type: Detected using Heuristic Algorithm
Poste tes Logs RSIT sur Cijoint.fr.
Utilisateur anonyme
24 févr. 2010 à 21:03
24 févr. 2010 à 21:03
salut c'est possible de lire C:\USBFix.txt ?
Utilisateur anonyme
24 févr. 2010 à 21:28
24 févr. 2010 à 21:28
tu avais deja fait l option 2 ?
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
24 févr. 2010 à 21:38
24 févr. 2010 à 21:38
As tu essayé de le supprimer la détection de Avast avec Avast après avoir supprimé l'autre?
Le driver était peut ètre juste un bouclier.
C'est ce fichier qu'il détecte?:C:\Windows\system32\browserchoice.exe
Le driver était peut ètre juste un bouclier.
C'est ce fichier qu'il détecte?:C:\Windows\system32\browserchoice.exe
j'ai pas bien compris mais a chaque fois que "avast 5" le detecte il le met automatiquement en quarantaine puis il revient 5 minute apres
c'est plutot ce type de fichier qu'il bloque C:\Windows\System32\svchost.exe
en plus sous mozilla ya des fois une fenetre de pub antispyaware qui s'ouvre toute seul
hmmm
c'est plutot ce type de fichier qu'il bloque C:\Windows\System32\svchost.exe
en plus sous mozilla ya des fois une fenetre de pub antispyaware qui s'ouvre toute seul
hmmm
Utilisateur anonyme
24 févr. 2010 à 21:43
24 févr. 2010 à 21:43
https://www.systemlookup.com/search.php?list=&type=filename&search=C%3A\Windows\System32\browserchoice.exe&s=
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
24 févr. 2010 à 21:48
24 févr. 2010 à 21:48
C'est ça dapprès moi,le driver supprimé par Regrun empèchait de l'atteindre et la,reste plus qu'a voir.
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
>
makaveli
24 févr. 2010 à 22:00
24 févr. 2010 à 22:00
Bon,Avast ne le détecte pas et n'y arrive pas et Malwarebytes ne le voit pas.
:C:\Windows\system32\browserchoice.exe
Démarre Reanimator,
Ferme la première fenètre
Trouve l'onglet Reanimator / Kill a file
Cherche le pour le sélectionner et Get it out,Reboot ou plutot Terminate et Redémarre.
Affiche tes fichiers protégés si nécessaire.
:C:\Windows\system32\browserchoice.exe
Démarre Reanimator,
Ferme la première fenètre
Trouve l'onglet Reanimator / Kill a file
Cherche le pour le sélectionner et Get it out,Reboot ou plutot Terminate et Redémarre.
Affiche tes fichiers protégés si nécessaire.
Utilisateur anonyme
24 févr. 2010 à 22:11
24 févr. 2010 à 22:11
si ca marche pas :
▶Télécharge Remove_File et enregistre-le sur ton bureau
▶double-clic sur l'icone , (pour Vista / 7 , clic droit "executer en tant qu'administrateur" )
un document texte va s'ouvrir ,
▶copie le texte en gras ci-dessous et accepte la modification à la fermeture du fichier texte dans lequel tu as collé ca :
|C:\Windows\system32\browserchoice.exe|
Laisse travailler l'outil
à la fin un rapport s'ouvre ,
▶ poste le resultat
▶Télécharge Remove_File et enregistre-le sur ton bureau
▶double-clic sur l'icone , (pour Vista / 7 , clic droit "executer en tant qu'administrateur" )
un document texte va s'ouvrir ,
▶copie le texte en gras ci-dessous et accepte la modification à la fermeture du fichier texte dans lequel tu as collé ca :
|C:\Windows\system32\browserchoice.exe|
Laisse travailler l'outil
à la fin un rapport s'ouvre ,
▶ poste le resultat
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
24 févr. 2010 à 22:36
24 févr. 2010 à 22:36
Pourrait tu montrer ce que spcifie Avast dans son rapport.
comment je peut faire j'arrive pas a coller l'image de capture d'ecran ?
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
24 févr. 2010 à 22:49
24 févr. 2010 à 22:49
makaveli
>
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
24 févr. 2010 à 22:55
24 févr. 2010 à 22:55
ok merci les voici:
http://img696.imageshack.us/img696/4787/capturerk.jpg
http://img220.imageshack.us/img220/5778/avastvirus.jpg
http://img696.imageshack.us/img696/4787/capturerk.jpg
http://img220.imageshack.us/img220/5778/avastvirus.jpg
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
24 févr. 2010 à 23:00
24 févr. 2010 à 23:00
As tu Daemon tools?
Je ne t'ai pas fait supprimer celui ci car je le croyait lié a:
Item Name: aicuzjkr.SYS
Author: Microsoft Corporation
Related File: C:\Windows\SYSTEM32\DRIVERS\AICUZJKR.SYS
Type: Drivers
https://www.greatis.com/security/A%23%23%23%23%23%23%23.sys%20is%20a%20rootkit.htm
Je ne t'ai pas fait supprimer celui ci car je le croyait lié a:
Item Name: aicuzjkr.SYS
Author: Microsoft Corporation
Related File: C:\Windows\SYSTEM32\DRIVERS\AICUZJKR.SYS
Type: Drivers
https://www.greatis.com/security/A%23%23%23%23%23%23%23.sys%20is%20a%20rootkit.htm
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
24 févr. 2010 à 23:18
24 févr. 2010 à 23:18
Je ne suis pas certain que ce driver appartienne a la version lite aussi,tu pourrait peut ètre essayer de le supprimer,il est inconnu et ça ne dérangerait pas.
Pourrait tu faire analyser le fichierC:Windows/Temp détecté par Avast ICI et me donner le lien après l'analise,
Si il a déja été analyse,fait le réanalyser.
Normalement,on ne doit pas changer d'antivirus durant une infection,mais je serait porté a te le faire changer par AntiVir,je ne suis pas sur que ce soit la meilleure idée,mais su tu veut procéder,c'est a ton choix.
Revo Uninstaller pour le désinstaller plus proprement,Options Désinstallation Avancée.
Télécharge AntiVir avant de le désinstaller.
Pourrait tu faire analyser le fichierC:Windows/Temp détecté par Avast ICI et me donner le lien après l'analise,
Si il a déja été analyse,fait le réanalyser.
Normalement,on ne doit pas changer d'antivirus durant une infection,mais je serait porté a te le faire changer par AntiVir,je ne suis pas sur que ce soit la meilleure idée,mais su tu veut procéder,c'est a ton choix.
Revo Uninstaller pour le désinstaller plus proprement,Options Désinstallation Avancée.
Télécharge AntiVir avant de le désinstaller.
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
24 févr. 2010 à 23:37
24 févr. 2010 à 23:37
Fait un scan complet avec drweb-cureit,
J'ai cherché au sujet de eygu.tmp et fwsa.tmp et ça ma mené vers eygu.exe et fwsa.exe ici:https://www.broadcom.com/
Cestains lui donne le nom de virut.## (Dangeureux) c'est pour ça que je te conseille drweb-cureit,ne désinstalle pas ton antivirus,ce n'est pas nécessaire pour cette manip.
Plus d'infos sur Virut http://www.commentcamarche.net/faq/16138-comment-supprimer-virut
J'ai cherché au sujet de eygu.tmp et fwsa.tmp et ça ma mené vers eygu.exe et fwsa.exe ici:https://www.broadcom.com/
Cestains lui donne le nom de virut.## (Dangeureux) c'est pour ça que je te conseille drweb-cureit,ne désinstalle pas ton antivirus,ce n'est pas nécessaire pour cette manip.
Plus d'infos sur Virut http://www.commentcamarche.net/faq/16138-comment-supprimer-virut
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
>
makaveli
25 févr. 2010 à 00:24
25 févr. 2010 à 00:24
Ils disent de se déconnecter d'internet durnat les opérations.
makaveli
>
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
25 févr. 2010 à 00:52
25 févr. 2010 à 00:52
ok la je me suis connecté sur mon pc portable
mais comment tu sais qu'ils sagit bien de virut ??
mais comment tu sais qu'ils sagit bien de virut ??
fabul
Messages postés
38523
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
16 septembre 2024
5 297
25 févr. 2010 à 00:56
25 févr. 2010 à 00:56
C'est une suspicion sérieuse,a peu près comme un constat,Si Regrun ne trouve pas ce qui déclanche les actions de ce virus,c'est que ce sont les fichiers système ou légitimes eux mème qui sont usurpés par Virut.
Et fwsa.exe exécuté donne une image comme fwsa.tmp
Tu le trouve parmi ceux ci:https://www.broadcom.com/
Et fwsa.exe exécuté donne une image comme fwsa.tmp
Tu le trouve parmi ceux ci:https://www.broadcom.com/
au moment ou le scan etait terminé j'ai voulu enregistrer le rapport et l'ordi a planté encore une fois
mais il yavait une seule infection celle dans la memoire .
je verrai ca demain , merci pour votre aide ,
j'espere vraiment que c'est pas virut sinon ca va etre la galere !
mais il yavait une seule infection celle dans la memoire .
je verrai ca demain , merci pour votre aide ,
j'espere vraiment que c'est pas virut sinon ca va etre la galere !
Utilisateur anonyme
25 févr. 2010 à 10:09
25 févr. 2010 à 10:09
salut j'ai mal redigé mon post22 :
relance remove-File avec le clic droit "executer en tant qu'administrateur" et colle ceci :
C:\Windows\system32\browserchoice.exe
puis ferme , accepte et poste le rapport
relance remove-File avec le clic droit "executer en tant qu'administrateur" et colle ceci :
C:\Windows\system32\browserchoice.exe
puis ferme , accepte et poste le rapport
bonjour
j'ai réassayé comme tu ma dit Gen-hackman mais ca me sort la même chose
j'ai fait une analyse avec drweb en etant deconnecter d'internet et rien n'est apparu ensuite une analyse complete MBAM rien non plus ...
je voudrais etre plus precis concernant les fichiers infecter que avast detecte en fait ils changent tout le temps de nom c'est jamais les meme qui ressortent ...
c:/Windows\temp\XXXXX\svchost.exe <--- c'est ce genre de fichier qui reviens tout le temps avec avast, la valeur de "xxxxx" change a chaque fois c'est jamais le meme nom
j'ai réassayé comme tu ma dit Gen-hackman mais ca me sort la même chose
j'ai fait une analyse avec drweb en etant deconnecter d'internet et rien n'est apparu ensuite une analyse complete MBAM rien non plus ...
je voudrais etre plus precis concernant les fichiers infecter que avast detecte en fait ils changent tout le temps de nom c'est jamais les meme qui ressortent ...
c:/Windows\temp\XXXXX\svchost.exe <--- c'est ce genre de fichier qui reviens tout le temps avec avast, la valeur de "xxxxx" change a chaque fois c'est jamais le meme nom
Utilisateur anonyme
25 févr. 2010 à 12:30
25 févr. 2010 à 12:30
Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)
▶ Télécharge List_Kill'em et enregistre le sur ton bureau
▶ Branche clés usb , disques durs externes , mp3 , mp4 , etc..
double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
coche la case "creer une icone sur le bureau"
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis la langue puis choisis l'option 1 = Mode Recherche
▶ laisse travailler l'outil
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan
▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
▶ Télécharge List_Kill'em et enregistre le sur ton bureau
▶ Branche clés usb , disques durs externes , mp3 , mp4 , etc..
double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
coche la case "creer une icone sur le bureau"
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis la langue puis choisis l'option 1 = Mode Recherche
▶ laisse travailler l'outil
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan
▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
voici le rapport
List'em by g3n-h@ckm@n 1.2.7.0
User : Afrite (Administrateurs)
Update on 23/02/2010 by g3n-h@ckm@n ::::: 16.30
Start at: 12:44:38 | 25/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7
Genuine Intel(R) CPU 2140 @ 1.60GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1229 [VPS 081121-0] 4.8.1229 [ Enabled | Updated ]
C:\ -> Disque fixe local | 69,78 Go (23,52 Go free) [ACER] | NTFS
D:\ -> Disque fixe local | 69,51 Go (39,91 Go free) [DATA] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local | 149,05 Go (73,81 Go free) | NTFS
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque fixe local | 37,29 Go (9,22 Go free) [TSM1] | FAT32
L:\ -> Disque fixe local | 37,25 Go (23,67 Go free) [TSM2] | NTFS
N:\ -> Disque amovible
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\System32\alg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\ctfmon.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp\pv.exe
======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avast5 REG_SZ "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\ApprovedByRegRun2
=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2)
ConsentPromptBehaviorUser REG_DWORD 1 (0x1)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 0 (0x0)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 1 (0x1)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)
EnableUIADesktopToggle REG_DWORD 0 (0x0)
===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 255 (0xff)
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
HonorAutoRunSetting REG_DWORD 0 (0x0)
===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
BindDirectlyToPropertySetStorage REG_DWORD 0 (0x0)
NoDriveAutoRun REG_DWORD 255 (0xff)
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
HonorAutoRunSetting REG_DWORD 0 (0x0)
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ
===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
ReportBootOk REG_SZ 1
Shell REG_SZ explorer.exe
Userinit REG_SZ C:\Windows\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
AutoRestartShell REG_DWORD 1 (0x1)
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ShutdownWithoutLogon REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
WinStationsDisabled REG_SZ 0
DisableCAD REG_DWORD 1 (0x1)
scremoveoption REG_SZ 0
ShutdownFlags REG_DWORD 43 (0x2b)
AutoAdminLogon REG_SZ 1
DefaultUserName REG_SZ Afrite
DefaultDomainName REG_SZ PC-DE-AFRITE
===============
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Acer\Empowering Technology\eDataSecurity\eDSfsu.exe REG_SZ C:\Acer\Empowering Technology\eDataSecurity\eDSfsu.exe:*:Enabled:eDSfsu
C:\Acer\Empowering Technology\eDataSecurity\encryption.exe REG_SZ C:\Acer\Empowering Technology\eDataSecurity\encryption.exe:*:Enabled:encryption
C:\Acer\Empowering Technology\eDataSecurity\decryption.exe REG_SZ C:\Acer\Empowering Technology\eDataSecurity\decryption.exe:*:Enabled:decryption
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\CabBuilder
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{867E13F2-7F31-44FB-AC97-CD38E0DC46EF}
===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}
==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
============
Recherche DNS
============
HKLM\SYSTEM\CS1\Services\Tcpip\..\{08BBB682-57D7-4C7B-B245-022C1C85E4B5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0E5CD3F1-32B5-4DA5-8BDB-80A50FF0851C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BD29BFA2-6973-486F-8B7E-534E1FC98598}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x2 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )
=========
Atapi.sys
=========
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\System32\drivers\atapi.sys
##
19944,1f05b78ab91c9075565a9d8a4b880bc4,737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd,C:\Windows\System32\drivers\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys
##
21560,b35cfcef838382ab6490b321c87edf17,a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0,C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys
##
19944,1f05b78ab91c9075565a9d8a4b880bc4,737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd,C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
##
19048,4f4fcb8b6ea06784fb6d475b7ec7300f,6202d85c9a75e3f01f5f94f069c4cd8a2b9295a182301eae5940ec3bc2c1d896,C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
##
21560,2d9c903dc76a66813d350a562de40ed9,82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3,C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys
##
21560,b35cfcef838382ab6490b321c87edf17,a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0,C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys
##
21560,e03e8c99d15d0381e02743c36afc7c6f,8217348674fc4d0c6d567ffc95b14dfd507f47c5a4728c2ba93d72c412e8527b,C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
##
21560,2d9c903dc76a66813d350a562de40ed9,82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3,C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
##
19944,1f05b78ab91c9075565a9d8a4b880bc4,737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd,C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
Référence :
==========
Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
=======
Drive :
=======
D‚fragmenteur de disque Windows
Copyright (c) 2006 Microsoft Corp.
Rapport d'analyse pour le volume C: ACER
Taille du volume = 69.78 Go
Espace libre = 23.53 Go
tendue d'espace libre la plus grande = 2.94 Go
Pourcentage de fragmentation des fichiers = 1 %
Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.
Il n'est pas n‚cessaire de d‚fragmenter ce volume.
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Present !! : C:\ProgramData\.zreglib
Present !! : C:\Program Files\AGI
Present !! : C:\Windows\System32\drivers\etc\hosts.msn
Present !! : C:\Windows\winstart.bat
¤¤¤¤¤¤¤¤¤¤ Keys :
Present !! : HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
Present !! : HKLM\Software\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
Present !! : HKLM\Software\Dealio
============
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-25 13:14:56
Windows 6.0.6002 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"u0"=hex:d4,c3,97,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..
"h0"=dword:00000000
"hdf12"=hex:4b,7c,ed,a6,9d,ef,9b,98,bb,aa,16,6f,54,68,f1,d0,1b,7f,5c,fe,d3,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,85,11,0f,cf,b4,b2,99,c8,c5,b3,50,fa,83,da,79,ac,7b,..
"hdf12"=hex:30,40,64,a0,b8,6e,ce,56,7a,98,48,76,d0,11,67,95,bd,81,73,af,fb,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:7d,ff,83,50,67,66,80,fa,b7,5d,d6,41,cb,85,0f,44,d8,e0,a7,68,d8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"u0"=hex:d4,c3,97,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..
"h0"=dword:00000000
"hdf12"=hex:4b,7c,ed,a6,9d,ef,9b,98,bb,aa,16,6f,54,68,f1,d0,1b,7f,5c,fe,d3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,85,11,0f,cf,b4,b2,99,c8,c5,b3,50,fa,83,da,79,ac,7b,..
"hdf12"=hex:30,40,64,a0,b8,6e,ce,56,7a,98,48,76,d0,11,67,95,bd,81,73,af,fb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:7d,ff,83,50,67,66,80,fa,b7,5d,d6,41,cb,85,0f,44,d8,e0,a7,68,d8,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x86F2FA9A]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86e5f1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
==========
Programs
==========
7-Zip
Acer Arcade Live
Acer Inc
Activation Assistant for the 2007 Microsoft Office suites
Adobe
AGI
Alwil Software
AOL
AOL 9.0 VR
Audacity
Brother
CCleaner
Common Files
desktop.ini
Dictionnaire le Littr‚ 2.0
Google
Greatis
InstallShield Installation Information
Internet Explorer
Inventel
IObit
Islam
Java
List_Kill'em
ma-config.com
Malwarebytes' Anti-Malware
Microsoft
Microsoft Games
Microsoft Office
Microsoft Silverlight
Microsoft Visual Studio
Microsoft Visual Studio 8
Microsoft Works
Microsoft.NET
Mindscape
Movie Maker
Mozilla Firefox
MSBuild
MSXML 4.0
My Program
NewTech Infosystems
Nullsoft
Philips
QuickTime
Real
Realtek
Reference Assemblies
SoftwarePassport
StarV9
trend micro
Utilitaire r‚seau pour SAGEM Wi-Fi 11g USB adapter
VideoLAN
Viewpoint
Windows Calendar
Windows Collaboration
Windows Defender
Windows Journal
Windows Live
Windows Live SkyDrive
Windows Mail
Windows Media Player
Windows NT
Windows Photo Gallery
Windows Portable Devices
Windows Sidebar
WinRAR
============
Drive C:
============
$RECYCLE.BIN
-20070424.log
-20071221.log
Acer
autoexec.bat
autorun.inf
Book
Boot
bootmgr
BOOTSECT.BAK
CLMS.log
config.sys
Documents and Settings
DRV
hiberfil.sys
IO.SYS
Kill'em
kill.exe
List'em.txt
MDisc.log
MDR.log
MSDOS.SYS
MSOCache
pagefile.sys
PerfLogs
Plugins
Program Files
ProgramData
PSD.log
rapport.txt
RHDSetup.log
rsit
setup.log
System Volume Information
UsbFix
UsbFix_Upload_Me_PC-de-Afrite.zip
Users
Windows
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
End of scan : 13:23:17,65
List'em by g3n-h@ckm@n 1.2.7.0
User : Afrite (Administrateurs)
Update on 23/02/2010 by g3n-h@ckm@n ::::: 16.30
Start at: 12:44:38 | 25/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7
Genuine Intel(R) CPU 2140 @ 1.60GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1229 [VPS 081121-0] 4.8.1229 [ Enabled | Updated ]
C:\ -> Disque fixe local | 69,78 Go (23,52 Go free) [ACER] | NTFS
D:\ -> Disque fixe local | 69,51 Go (39,91 Go free) [DATA] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local | 149,05 Go (73,81 Go free) | NTFS
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque fixe local | 37,29 Go (9,22 Go free) [TSM1] | FAT32
L:\ -> Disque fixe local | 37,25 Go (23,67 Go free) [TSM2] | NTFS
N:\ -> Disque amovible
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\System32\alg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\ctfmon.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp\pv.exe
======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avast5 REG_SZ "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\ApprovedByRegRun2
=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2)
ConsentPromptBehaviorUser REG_DWORD 1 (0x1)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 0 (0x0)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 1 (0x1)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)
EnableUIADesktopToggle REG_DWORD 0 (0x0)
===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 255 (0xff)
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
HonorAutoRunSetting REG_DWORD 0 (0x0)
===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
BindDirectlyToPropertySetStorage REG_DWORD 0 (0x0)
NoDriveAutoRun REG_DWORD 255 (0xff)
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
HonorAutoRunSetting REG_DWORD 0 (0x0)
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ
===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
ReportBootOk REG_SZ 1
Shell REG_SZ explorer.exe
Userinit REG_SZ C:\Windows\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
AutoRestartShell REG_DWORD 1 (0x1)
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ShutdownWithoutLogon REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
WinStationsDisabled REG_SZ 0
DisableCAD REG_DWORD 1 (0x1)
scremoveoption REG_SZ 0
ShutdownFlags REG_DWORD 43 (0x2b)
AutoAdminLogon REG_SZ 1
DefaultUserName REG_SZ Afrite
DefaultDomainName REG_SZ PC-DE-AFRITE
===============
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Acer\Empowering Technology\eDataSecurity\eDSfsu.exe REG_SZ C:\Acer\Empowering Technology\eDataSecurity\eDSfsu.exe:*:Enabled:eDSfsu
C:\Acer\Empowering Technology\eDataSecurity\encryption.exe REG_SZ C:\Acer\Empowering Technology\eDataSecurity\encryption.exe:*:Enabled:encryption
C:\Acer\Empowering Technology\eDataSecurity\decryption.exe REG_SZ C:\Acer\Empowering Technology\eDataSecurity\decryption.exe:*:Enabled:decryption
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\CabBuilder
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{867E13F2-7F31-44FB-AC97-CD38E0DC46EF}
===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}
==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
============
Recherche DNS
============
HKLM\SYSTEM\CS1\Services\Tcpip\..\{08BBB682-57D7-4C7B-B245-022C1C85E4B5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0E5CD3F1-32B5-4DA5-8BDB-80A50FF0851C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BD29BFA2-6973-486F-8B7E-534E1FC98598}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x2 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )
=========
Atapi.sys
=========
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\System32\drivers\atapi.sys
##
19944,1f05b78ab91c9075565a9d8a4b880bc4,737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd,C:\Windows\System32\drivers\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys
##
21560,b35cfcef838382ab6490b321c87edf17,a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0,C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys
##
19944,1f05b78ab91c9075565a9d8a4b880bc4,737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd,C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
##
19048,4f4fcb8b6ea06784fb6d475b7ec7300f,6202d85c9a75e3f01f5f94f069c4cd8a2b9295a182301eae5940ec3bc2c1d896,C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
##
21560,2d9c903dc76a66813d350a562de40ed9,82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3,C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys
##
21560,b35cfcef838382ab6490b321c87edf17,a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0,C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys
##
21560,e03e8c99d15d0381e02743c36afc7c6f,8217348674fc4d0c6d567ffc95b14dfd507f47c5a4728c2ba93d72c412e8527b,C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
##
21560,2d9c903dc76a66813d350a562de40ed9,82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3,C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Afrite\AppData\Local\Temp\BAF5.tmp
## C:\> hashdeep.exe C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
##
19944,1f05b78ab91c9075565a9d8a4b880bc4,737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd,C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
Référence :
==========
Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
=======
Drive :
=======
D‚fragmenteur de disque Windows
Copyright (c) 2006 Microsoft Corp.
Rapport d'analyse pour le volume C: ACER
Taille du volume = 69.78 Go
Espace libre = 23.53 Go
tendue d'espace libre la plus grande = 2.94 Go
Pourcentage de fragmentation des fichiers = 1 %
Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.
Il n'est pas n‚cessaire de d‚fragmenter ce volume.
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Present !! : C:\ProgramData\.zreglib
Present !! : C:\Program Files\AGI
Present !! : C:\Windows\System32\drivers\etc\hosts.msn
Present !! : C:\Windows\winstart.bat
¤¤¤¤¤¤¤¤¤¤ Keys :
Present !! : HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
Present !! : HKLM\Software\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
Present !! : HKLM\Software\Dealio
============
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-25 13:14:56
Windows 6.0.6002 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"u0"=hex:d4,c3,97,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..
"h0"=dword:00000000
"hdf12"=hex:4b,7c,ed,a6,9d,ef,9b,98,bb,aa,16,6f,54,68,f1,d0,1b,7f,5c,fe,d3,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,85,11,0f,cf,b4,b2,99,c8,c5,b3,50,fa,83,da,79,ac,7b,..
"hdf12"=hex:30,40,64,a0,b8,6e,ce,56,7a,98,48,76,d0,11,67,95,bd,81,73,af,fb,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:7d,ff,83,50,67,66,80,fa,b7,5d,d6,41,cb,85,0f,44,d8,e0,a7,68,d8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"u0"=hex:d4,c3,97,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..
"h0"=dword:00000000
"hdf12"=hex:4b,7c,ed,a6,9d,ef,9b,98,bb,aa,16,6f,54,68,f1,d0,1b,7f,5c,fe,d3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,85,11,0f,cf,b4,b2,99,c8,c5,b3,50,fa,83,da,79,ac,7b,..
"hdf12"=hex:30,40,64,a0,b8,6e,ce,56,7a,98,48,76,d0,11,67,95,bd,81,73,af,fb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:7d,ff,83,50,67,66,80,fa,b7,5d,d6,41,cb,85,0f,44,d8,e0,a7,68,d8,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x86F2FA9A]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86e5f1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
==========
Programs
==========
7-Zip
Acer Arcade Live
Acer Inc
Activation Assistant for the 2007 Microsoft Office suites
Adobe
AGI
Alwil Software
AOL
AOL 9.0 VR
Audacity
Brother
CCleaner
Common Files
desktop.ini
Dictionnaire le Littr‚ 2.0
Greatis
InstallShield Installation Information
Internet Explorer
Inventel
IObit
Islam
Java
List_Kill'em
ma-config.com
Malwarebytes' Anti-Malware
Microsoft
Microsoft Games
Microsoft Office
Microsoft Silverlight
Microsoft Visual Studio
Microsoft Visual Studio 8
Microsoft Works
Microsoft.NET
Mindscape
Movie Maker
Mozilla Firefox
MSBuild
MSXML 4.0
My Program
NewTech Infosystems
Nullsoft
Philips
QuickTime
Real
Realtek
Reference Assemblies
SoftwarePassport
StarV9
trend micro
Utilitaire r‚seau pour SAGEM Wi-Fi 11g USB adapter
VideoLAN
Viewpoint
Windows Calendar
Windows Collaboration
Windows Defender
Windows Journal
Windows Live
Windows Live SkyDrive
Windows Mail
Windows Media Player
Windows NT
Windows Photo Gallery
Windows Portable Devices
Windows Sidebar
WinRAR
============
Drive C:
============
$RECYCLE.BIN
-20070424.log
-20071221.log
Acer
autoexec.bat
autorun.inf
Book
Boot
bootmgr
BOOTSECT.BAK
CLMS.log
config.sys
Documents and Settings
DRV
hiberfil.sys
IO.SYS
Kill'em
kill.exe
List'em.txt
MDisc.log
MDR.log
MSDOS.SYS
MSOCache
pagefile.sys
PerfLogs
Plugins
Program Files
ProgramData
PSD.log
rapport.txt
RHDSetup.log
rsit
setup.log
System Volume Information
UsbFix
UsbFix_Upload_Me_PC-de-Afrite.zip
Users
Windows
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
End of scan : 13:23:17,65
24 févr. 2010 à 18:40
les 3 premier item trouvé
Item Name: D:\desktop.ini
Author: Unknown
Related File: D:\desktop.ini
Type: Autorun.inf
Item Name: avast
Author: ALWIL Software
Related File: C:\Program Files\Alwil Software\Avast5\ashShell.dll
Type: Context Menu Handlers
Item Name: aicuzjkr.SYS
Author: Microsoft Corporation
Related File: C:\Windows\SYSTEM32\DRIVERS\AICUZJKR.SYS
Type: Drivers
24 févr. 2010 à 18:42
24 févr. 2010 à 18:48
http://www.cijoint.fr/cjlink.php?file=cj201002/cijUKKLBSq.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cijxP9lMfx.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cijrvDuQqP.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cijE7NCJHH.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cijQOUKvPp.txt