Infection rootkit
Résolu
Kaeldos
Messages postés
79
Date d'inscription
Statut
Membre
Dernière intervention
-
WinError -
WinError -
Bonjour à tous.
Un fichier du nom "zroksaq.sys" à été détecté sur mon PC, a priori un rootkit. Étant une bille en informatique je ne sais pas comment m'en débarrasser.
Merci d'avance pour votre aide.
Un fichier du nom "zroksaq.sys" à été détecté sur mon PC, a priori un rootkit. Étant une bille en informatique je ne sais pas comment m'en débarrasser.
Merci d'avance pour votre aide.
A voir également:
- Infection rootkit
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti-rootkit - Télécharger - Antivirus & Antimalwares
80 réponses
Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
tu NOMME le fichier CFscript
copie colle le contenu INTEGRAL qui ce trouve a l'interieur du lien dans ton nouveau fichier texte (blocnote) :
http://www.cijoint.fr/cj201002/cijbOw3so6.txt
Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
puis
- clic ici https://www.virustotal.com/gui/
- clic sur parcourir en milieu de page
- dans la nouvelle fenetre copie colle la (les) ligne a analyser,
c:\program files\Autorun.exe
- clic sur ouvrir
- clic sur envoyer, un rappport va s'etablir
SI ON TE DIT le fichier a deja ete analyser clic sur réanalyser
et copie colle le rapport ici + l' URL du rapport (adresse internet)
fait pareil avec ce fichier :
c:\program files\Autorun.ico
tu NOMME le fichier CFscript
copie colle le contenu INTEGRAL qui ce trouve a l'interieur du lien dans ton nouveau fichier texte (blocnote) :
http://www.cijoint.fr/cj201002/cijbOw3so6.txt
Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
puis
- clic ici https://www.virustotal.com/gui/
- clic sur parcourir en milieu de page
- dans la nouvelle fenetre copie colle la (les) ligne a analyser,
c:\program files\Autorun.exe
- clic sur ouvrir
- clic sur envoyer, un rappport va s'etablir
SI ON TE DIT le fichier a deja ete analyser clic sur réanalyser
et copie colle le rapport ici + l' URL du rapport (adresse internet)
fait pareil avec ce fichier :
c:\program files\Autorun.ico
rapport combofix:
ComboFix 10-02-26.01 - YannBastian 28/02/2010 15:57:47.2.2 - x86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.33.1036.18.3070.1987 [GMT 1:00]
Lancé depuis: c:\users\YannBastian\Desktop\cbfix.exe
Commutateurs utilisés :: c:\users\YannBastian\Desktop\CFscript .txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
FILE ::
"c:\windows\system32\GameMon.des"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\GameMon.des
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ZROKSAQ
-------\Service_zroksaq
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-28 au 2010-02-28 ))))))))))))))))))))))))))))))))))))
.
2010-02-28 15:09 . 2010-02-28 15:11 -------- d-----w- c:\users\YannBastian\AppData\Local\temp
2010-02-28 15:09 . 2010-02-28 15:09 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-02-28 15:09 . 2010-02-28 15:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-02-26 17:51 . 2010-02-26 18:31 -------- d-----w- C:\ComboFix
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\users\YannBastian\AppData\Roaming\Malwarebytes
2010-02-25 16:14 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\programdata\Malwarebytes
2010-02-25 16:14 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-25 14:40 . 2010-02-25 14:49 -------- d-----w- C:\Ad-Remover
2010-02-25 12:32 . 2010-02-25 12:33 -------- d-----w- c:\program files\trend micro
2010-02-25 12:32 . 2010-02-25 12:33 -------- d-----w- C:\rsit
2010-02-24 14:08 . 2010-02-28 15:10 792064 ----a-w- c:\windows\system32\drivers\zroksaq.sys
2010-02-17 00:12 . 2010-02-17 00:17 194089856 ----a-w- C:\DungeonDefense_Install_2.2_JeuxVideo.com_14521.exe
2010-02-16 12:24 . 2010-02-16 12:24 467 ----a-w- C:\msmq.reg
2010-02-16 10:14 . 2010-02-17 17:49 23033 ----a-w- C:\Legend of the Seeker_2x11_HDTV.LOL.fr.zip
2010-02-06 16:38 . 2010-02-06 16:53 -------- d-----w- C:\cxl
2010-02-06 16:05 . 2010-02-08 17:47 -------- d-----w- C:\trainer torchlight
2010-02-02 20:16 . 2010-02-02 20:16 1882267 ----a-w- C:\AtlasLoot-v5.09.05.zip
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-28 15:11 . 2009-10-22 17:38 35465 ----a-w- c:\programdata\nvModes.dat
2010-02-28 15:11 . 2009-08-29 12:13 -------- d-----w- c:\program files\Steam
2010-02-28 15:11 . 2008-08-26 10:57 -------- d-----w- c:\programdata\NVIDIA
2010-02-28 12:22 . 2009-07-24 16:30 -------- d-----w- c:\users\YannBastian\AppData\Roaming\Mumble
2010-02-26 18:48 . 2010-01-23 15:33 15944 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2010-02-26 18:47 . 2009-11-24 20:08 -------- d-----w- c:\programdata\boost_interprocess
2010-02-25 17:21 . 2010-01-12 10:02 -------- d-----w- c:\users\YannBastian\AppData\Roaming\vlc
2010-02-24 14:07 . 2010-02-24 14:06 16 ----a-w- c:\users\YannBastian\AppData\Roaming\rbuwzv.dat
2010-02-24 10:15 . 2009-06-27 18:00 -------- d-----w- c:\programdata\Electronic Arts
2010-02-24 08:16 . 2009-10-02 16:53 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-12 00:05 . 2009-07-04 07:32 284 ----a-w- c:\users\YannBastian\AppData\Roaming\wklnhst.dat
2010-02-11 02:17 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-02-08 17:52 . 2009-07-24 16:30 -------- d-----w- c:\program files\Mumble
2010-02-03 04:48 . 2009-01-28 11:30 -------- d-----w- c:\program files\World of Warcraft
2010-01-24 18:15 . 2010-01-24 18:03 -------- d-----w- c:\users\YannBastian\AppData\Roaming\dvdcss
2010-01-23 15:40 . 2010-01-23 15:33 -------- d-----w- c:\programdata\Hitman Pro
2010-01-23 15:33 . 2010-01-23 15:33 -------- d-----w- c:\program files\Hitman Pro 3.5
2010-01-23 15:33 . 2010-01-23 15:32 4955456 ----a-w- C:\HitmanPro35.exe
2010-01-21 07:48 . 2010-01-21 07:48 3268476 ----a-w- c:\programdata\AuctioneerSuite-5.7.4568.zip
2010-01-17 21:35 . 2010-01-17 21:35 1090977 ----a-w- c:\programdata\DBM-4.38-r3147-Core-and-WotLK-Mods.zip
2010-01-12 10:00 . 2010-01-12 10:00 -------- d-----w- c:\program files\VideoLAN
2010-01-12 09:59 . 2010-01-12 09:59 18030130 ----a-w- C:\vlc-1.0.3-win32.exe
2010-01-08 02:15 . 2008-08-26 10:59 -------- d-----w- c:\programdata\CyberLink
2009-12-31 02:21 . 2009-12-31 02:20 -------- d-----w- c:\program files\Google
2009-12-31 02:20 . 2009-02-14 18:12 -------- d-----w- c:\program files\DivX
2009-12-31 02:20 . 2009-12-31 02:20 -------- d-----w- c:\program files\Common Files\DivX Shared
2009-12-28 12:35 . 2010-02-10 02:10 11776 ----a-w- c:\windows\system32\tsbyuv.dll
2009-12-28 12:35 . 2010-02-10 02:10 1314816 ----a-w- c:\windows\system32\quartz.dll
2009-12-28 12:32 . 2010-02-10 02:10 22528 ----a-w- c:\windows\system32\msyuv.dll
2009-12-28 12:32 . 2010-02-10 02:10 31744 ----a-w- c:\windows\system32\msvidc32.dll
2009-12-28 12:32 . 2010-02-10 02:10 123904 ----a-w- c:\windows\system32\msvfw32.dll
2009-12-28 12:32 . 2010-02-10 02:10 13312 ----a-w- c:\windows\system32\msrle32.dll
2009-12-28 12:31 . 2010-02-10 02:10 82944 ----a-w- c:\windows\system32\mciavi32.dll
2009-12-28 12:31 . 2010-02-10 02:10 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2009-12-28 12:28 . 2010-02-10 02:10 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-12-28 12:28 . 2010-02-10 02:10 65024 ----a-w- c:\windows\system32\avicap32.dll
2009-12-20 12:36 . 2009-12-20 12:36 12862712 ----a-w- C:\mumble-2009-12-16-1633-718da1.exe
2009-12-18 13:05 . 2010-01-22 03:36 833024 ----a-w- c:\windows\system32\wininet.dll
2009-12-18 13:01 . 2010-01-22 03:36 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-12-18 10:14 . 2010-01-22 03:36 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-11 12:07 . 2010-02-10 02:10 301568 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-11 12:07 . 2010-02-10 02:10 98304 ----a-w- c:\windows\system32\drivers\srvnet.sys
2009-12-10 17:12 . 2009-12-10 17:12 246754 ----a-w- C:\Bartender4-4.4.2.zip
2009-12-09 19:37 . 2009-12-09 19:36 683716 ----a-w- C:\XPerl-3.0.7__3.3_Release_.zip
2009-12-09 19:36 . 2009-12-09 19:36 1058232 ----a-w- C:\DBM-4.32-r2645-Core-and-WotLK-Mods.zip
2009-12-08 20:52 . 2010-02-10 02:10 897624 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-12-08 20:52 . 2010-02-10 02:10 3597912 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 20:52 . 2010-02-10 02:10 3546200 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-08 14:04 . 2009-12-08 14:04 12836528 ----a-w- C:\Mumble-1.2.0~beta2.exe
2009-12-04 16:12 . 2010-02-10 02:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2009-12-04 16:12 . 2010-02-10 02:10 105472 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-12-04 12:37 . 2008-08-26 20:24 669328 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-04 12:37 . 2008-08-26 20:24 123350 ----a-w- c:\windows\system32\perfc00C.dat
2004-07-23 14:50 . 2009-05-17 13:30 4363 ------w- c:\program files\ReadMe.txt
2004-07-23 07:53 . 2009-05-17 13:30 258048 ------w- c:\program files\Autorun.exe
2004-05-17 12:56 . 2009-05-17 13:30 3262 ------w- c:\program files\MedievalLords.ico
2003-12-19 10:45 . 2009-05-17 13:30 766 ------w- c:\program files\Autorun.ico
2003-12-19 10:45 . 2009-05-17 13:30 245408 ------w- c:\program files\unicows.dll
2008-08-26 20:38 . 2008-08-26 20:38 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"Steam"="c:\program files\steam\steam.exe" [2010-02-20 1217872]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-02 75008]
"DPService"="c:\program files\HP\DVDPlay\DPService.exe" [2008-06-11 90112]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:33 21504]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [27/09/2009 15:48 240232]
S2 gupdate1ca89bfce2f08dc;Service Google Update (gupdate1ca89bfce2f08dc);c:\program files\Google\Update\GoogleUpdate.exe [31/12/2009 03:20 133104]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
Contenu du dossier 'Tâches planifiées'
2010-02-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-31 02:20]
2010-02-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-31 02:20]
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\users\YannBastian\AppData\Roaming\Mozilla\Firefox\Profiles\g2ay6tdk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&SearchSource=3&q={searchTerms}
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&q=
FF - component: c:\users\YannBastian\AppData\Roaming\Mozilla\Firefox\Profiles\g2ay6tdk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.17\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-28 16:11
Windows 6.0.6001 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll prosync1.sys >>UNKNOWN [0x8571D1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x829d1322
\Driver\ACPI -> acpi.sys @ 0x8233dd4c
\Driver\atapi -> prosync1.sys @ 0x8a7536e1
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-3430781819-4112138520-4176161753-1000\Software\SecuROM\License information*]
"datasecu"=hex:78,d7,71,06,eb,9d,f2,3f,5e,7c,94,76,94,37,9b,ac,02,00,40,61,30,
07,ea,ad,b6,b0,22,f4,10,06,3b,81,ab,c4,8c,bf,a9,e9,dd,5d,31,4a,5c,9c,d9,a6,\
"rkeysecu"=hex:3e,80,9e,c4,40,b4,90,83,87,8e,33,49,64,ac,f8,d9
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\conime.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-02-28 16:20:40 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-28 15:20
ComboFix2.txt 2010-02-26 18:31
Avant-CF: 169 339 596 800 octets libres
Après-CF: 169 010 061 312 octets libres
- - End Of File - - B9EE3BCAFAD685A2749FA83579AD1EEF
ComboFix 10-02-26.01 - YannBastian 28/02/2010 15:57:47.2.2 - x86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.33.1036.18.3070.1987 [GMT 1:00]
Lancé depuis: c:\users\YannBastian\Desktop\cbfix.exe
Commutateurs utilisés :: c:\users\YannBastian\Desktop\CFscript .txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
FILE ::
"c:\windows\system32\GameMon.des"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\GameMon.des
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ZROKSAQ
-------\Service_zroksaq
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-28 au 2010-02-28 ))))))))))))))))))))))))))))))))))))
.
2010-02-28 15:09 . 2010-02-28 15:11 -------- d-----w- c:\users\YannBastian\AppData\Local\temp
2010-02-28 15:09 . 2010-02-28 15:09 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-02-28 15:09 . 2010-02-28 15:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-02-26 17:51 . 2010-02-26 18:31 -------- d-----w- C:\ComboFix
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\users\YannBastian\AppData\Roaming\Malwarebytes
2010-02-25 16:14 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\programdata\Malwarebytes
2010-02-25 16:14 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-25 14:40 . 2010-02-25 14:49 -------- d-----w- C:\Ad-Remover
2010-02-25 12:32 . 2010-02-25 12:33 -------- d-----w- c:\program files\trend micro
2010-02-25 12:32 . 2010-02-25 12:33 -------- d-----w- C:\rsit
2010-02-24 14:08 . 2010-02-28 15:10 792064 ----a-w- c:\windows\system32\drivers\zroksaq.sys
2010-02-17 00:12 . 2010-02-17 00:17 194089856 ----a-w- C:\DungeonDefense_Install_2.2_JeuxVideo.com_14521.exe
2010-02-16 12:24 . 2010-02-16 12:24 467 ----a-w- C:\msmq.reg
2010-02-16 10:14 . 2010-02-17 17:49 23033 ----a-w- C:\Legend of the Seeker_2x11_HDTV.LOL.fr.zip
2010-02-06 16:38 . 2010-02-06 16:53 -------- d-----w- C:\cxl
2010-02-06 16:05 . 2010-02-08 17:47 -------- d-----w- C:\trainer torchlight
2010-02-02 20:16 . 2010-02-02 20:16 1882267 ----a-w- C:\AtlasLoot-v5.09.05.zip
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-28 15:11 . 2009-10-22 17:38 35465 ----a-w- c:\programdata\nvModes.dat
2010-02-28 15:11 . 2009-08-29 12:13 -------- d-----w- c:\program files\Steam
2010-02-28 15:11 . 2008-08-26 10:57 -------- d-----w- c:\programdata\NVIDIA
2010-02-28 12:22 . 2009-07-24 16:30 -------- d-----w- c:\users\YannBastian\AppData\Roaming\Mumble
2010-02-26 18:48 . 2010-01-23 15:33 15944 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2010-02-26 18:47 . 2009-11-24 20:08 -------- d-----w- c:\programdata\boost_interprocess
2010-02-25 17:21 . 2010-01-12 10:02 -------- d-----w- c:\users\YannBastian\AppData\Roaming\vlc
2010-02-24 14:07 . 2010-02-24 14:06 16 ----a-w- c:\users\YannBastian\AppData\Roaming\rbuwzv.dat
2010-02-24 10:15 . 2009-06-27 18:00 -------- d-----w- c:\programdata\Electronic Arts
2010-02-24 08:16 . 2009-10-02 16:53 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-12 00:05 . 2009-07-04 07:32 284 ----a-w- c:\users\YannBastian\AppData\Roaming\wklnhst.dat
2010-02-11 02:17 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-02-08 17:52 . 2009-07-24 16:30 -------- d-----w- c:\program files\Mumble
2010-02-03 04:48 . 2009-01-28 11:30 -------- d-----w- c:\program files\World of Warcraft
2010-01-24 18:15 . 2010-01-24 18:03 -------- d-----w- c:\users\YannBastian\AppData\Roaming\dvdcss
2010-01-23 15:40 . 2010-01-23 15:33 -------- d-----w- c:\programdata\Hitman Pro
2010-01-23 15:33 . 2010-01-23 15:33 -------- d-----w- c:\program files\Hitman Pro 3.5
2010-01-23 15:33 . 2010-01-23 15:32 4955456 ----a-w- C:\HitmanPro35.exe
2010-01-21 07:48 . 2010-01-21 07:48 3268476 ----a-w- c:\programdata\AuctioneerSuite-5.7.4568.zip
2010-01-17 21:35 . 2010-01-17 21:35 1090977 ----a-w- c:\programdata\DBM-4.38-r3147-Core-and-WotLK-Mods.zip
2010-01-12 10:00 . 2010-01-12 10:00 -------- d-----w- c:\program files\VideoLAN
2010-01-12 09:59 . 2010-01-12 09:59 18030130 ----a-w- C:\vlc-1.0.3-win32.exe
2010-01-08 02:15 . 2008-08-26 10:59 -------- d-----w- c:\programdata\CyberLink
2009-12-31 02:21 . 2009-12-31 02:20 -------- d-----w- c:\program files\Google
2009-12-31 02:20 . 2009-02-14 18:12 -------- d-----w- c:\program files\DivX
2009-12-31 02:20 . 2009-12-31 02:20 -------- d-----w- c:\program files\Common Files\DivX Shared
2009-12-28 12:35 . 2010-02-10 02:10 11776 ----a-w- c:\windows\system32\tsbyuv.dll
2009-12-28 12:35 . 2010-02-10 02:10 1314816 ----a-w- c:\windows\system32\quartz.dll
2009-12-28 12:32 . 2010-02-10 02:10 22528 ----a-w- c:\windows\system32\msyuv.dll
2009-12-28 12:32 . 2010-02-10 02:10 31744 ----a-w- c:\windows\system32\msvidc32.dll
2009-12-28 12:32 . 2010-02-10 02:10 123904 ----a-w- c:\windows\system32\msvfw32.dll
2009-12-28 12:32 . 2010-02-10 02:10 13312 ----a-w- c:\windows\system32\msrle32.dll
2009-12-28 12:31 . 2010-02-10 02:10 82944 ----a-w- c:\windows\system32\mciavi32.dll
2009-12-28 12:31 . 2010-02-10 02:10 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2009-12-28 12:28 . 2010-02-10 02:10 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-12-28 12:28 . 2010-02-10 02:10 65024 ----a-w- c:\windows\system32\avicap32.dll
2009-12-20 12:36 . 2009-12-20 12:36 12862712 ----a-w- C:\mumble-2009-12-16-1633-718da1.exe
2009-12-18 13:05 . 2010-01-22 03:36 833024 ----a-w- c:\windows\system32\wininet.dll
2009-12-18 13:01 . 2010-01-22 03:36 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-12-18 10:14 . 2010-01-22 03:36 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-11 12:07 . 2010-02-10 02:10 301568 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-11 12:07 . 2010-02-10 02:10 98304 ----a-w- c:\windows\system32\drivers\srvnet.sys
2009-12-10 17:12 . 2009-12-10 17:12 246754 ----a-w- C:\Bartender4-4.4.2.zip
2009-12-09 19:37 . 2009-12-09 19:36 683716 ----a-w- C:\XPerl-3.0.7__3.3_Release_.zip
2009-12-09 19:36 . 2009-12-09 19:36 1058232 ----a-w- C:\DBM-4.32-r2645-Core-and-WotLK-Mods.zip
2009-12-08 20:52 . 2010-02-10 02:10 897624 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-12-08 20:52 . 2010-02-10 02:10 3597912 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 20:52 . 2010-02-10 02:10 3546200 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-08 14:04 . 2009-12-08 14:04 12836528 ----a-w- C:\Mumble-1.2.0~beta2.exe
2009-12-04 16:12 . 2010-02-10 02:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2009-12-04 16:12 . 2010-02-10 02:10 105472 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-12-04 12:37 . 2008-08-26 20:24 669328 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-04 12:37 . 2008-08-26 20:24 123350 ----a-w- c:\windows\system32\perfc00C.dat
2004-07-23 14:50 . 2009-05-17 13:30 4363 ------w- c:\program files\ReadMe.txt
2004-07-23 07:53 . 2009-05-17 13:30 258048 ------w- c:\program files\Autorun.exe
2004-05-17 12:56 . 2009-05-17 13:30 3262 ------w- c:\program files\MedievalLords.ico
2003-12-19 10:45 . 2009-05-17 13:30 766 ------w- c:\program files\Autorun.ico
2003-12-19 10:45 . 2009-05-17 13:30 245408 ------w- c:\program files\unicows.dll
2008-08-26 20:38 . 2008-08-26 20:38 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"Steam"="c:\program files\steam\steam.exe" [2010-02-20 1217872]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-02 75008]
"DPService"="c:\program files\HP\DVDPlay\DPService.exe" [2008-06-11 90112]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:33 21504]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [27/09/2009 15:48 240232]
S2 gupdate1ca89bfce2f08dc;Service Google Update (gupdate1ca89bfce2f08dc);c:\program files\Google\Update\GoogleUpdate.exe [31/12/2009 03:20 133104]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
Contenu du dossier 'Tâches planifiées'
2010-02-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-31 02:20]
2010-02-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-31 02:20]
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\users\YannBastian\AppData\Roaming\Mozilla\Firefox\Profiles\g2ay6tdk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&SearchSource=3&q={searchTerms}
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&q=
FF - component: c:\users\YannBastian\AppData\Roaming\Mozilla\Firefox\Profiles\g2ay6tdk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.17\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-28 16:11
Windows 6.0.6001 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll prosync1.sys >>UNKNOWN [0x8571D1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x829d1322
\Driver\ACPI -> acpi.sys @ 0x8233dd4c
\Driver\atapi -> prosync1.sys @ 0x8a7536e1
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-3430781819-4112138520-4176161753-1000\Software\SecuROM\License information*]
"datasecu"=hex:78,d7,71,06,eb,9d,f2,3f,5e,7c,94,76,94,37,9b,ac,02,00,40,61,30,
07,ea,ad,b6,b0,22,f4,10,06,3b,81,ab,c4,8c,bf,a9,e9,dd,5d,31,4a,5c,9c,d9,a6,\
"rkeysecu"=hex:3e,80,9e,c4,40,b4,90,83,87,8e,33,49,64,ac,f8,d9
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\conime.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-02-28 16:20:40 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-28 15:20
ComboFix2.txt 2010-02-26 18:31
Avant-CF: 169 339 596 800 octets libres
Après-CF: 169 010 061 312 octets libres
- - End Of File - - B9EE3BCAFAD685A2749FA83579AD1EEF
http://www.virustotal.com/fr/analisis/2eab6d8506a81a82e4bccf4f5169ce33808fd2c1df731a080a736aac6770db42-1267370892
analyse autorun.exe:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.28 -
AhnLab-V3 5.0.0.2 2010.02.28 -
AntiVir 8.2.1.176 2010.02.26 -
Antiy-AVL 2.0.3.7 2010.02.26 -
Authentium 5.2.0.5 2010.02.27 -
Avast 4.8.1351.0 2010.02.28 -
Avast5 5.0.332.0 2010.02.28 -
AVG 9.0.0.730 2010.02.28 -
BitDefender 7.2 2010.02.28 -
CAT-QuickHeal 10.00 2010.02.27 -
ClamAV 0.96.0.0-git 2010.02.28 -
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.02.28 -
eSafe 7.0.17.0 2010.02.28 -
eTrust-Vet 35.2.7331 2010.02.26 -
F-Prot 4.5.1.85 2010.02.27 -
F-Secure 9.0.15370.0 2010.02.27 -
Fortinet 4.0.14.0 2010.02.28 -
GData 19 2010.02.28 -
Ikarus T3.1.1.80.0 2010.02.28 -
Jiangmin 13.0.900 2010.02.28 -
K7AntiVirus 7.10.984 2010.02.26 -
Kaspersky 7.0.0.125 2010.02.28 -
McAfee 5905 2010.02.27 -
McAfee+Artemis 5905 2010.02.27 -
McAfee-GW-Edition 6.8.5 2010.02.28 -
Microsoft 1.5502 2010.02.28 -
NOD32 4902 2010.02.28 -
Norman 6.04.08 2010.02.28 -
nProtect 2009.1.8.0 2010.02.28 -
Panda 10.0.2.2 2010.02.28 -
PCTools 7.0.3.5 2010.02.28 -
Prevx 3.0 2010.02.28 -
Rising 22.36.06.04 2010.02.28 -
Sophos 4.50.0 2010.02.28 -
Sunbelt 5708 2010.02.28 -
Symantec 20091.2.0.41 2010.02.28 -
TheHacker 6.5.1.7.214 2010.02.28 -
TrendMicro 9.120.0.1004 2010.02.28 -
VBA32 3.12.12.2 2010.02.26 -
ViRobot 2010.2.27.2206 2010.02.27 -
VirusBuster 5.0.27.0 2010.02.27 -
Information additionnelle
File size: 258048 bytes
MD5...: f69c9dd2084e4c848994b76c9790a7be
SHA1..: cae9e70ed10d4f1c8ee2f44e9874dfe9c3263d99
SHA256: 2eab6d8506a81a82e4bccf4f5169ce33808fd2c1df731a080a736aac6770db42
ssdeep: 3072:M9zU7dCp933+QAYiSIy8jYA2CZI6zkRVEeTZp3QaSxZoQAGZNpSz7n/Tb9B
sfj/Z:+UxIGe4joQAySzz8yRi7PwLTBJaXgkD
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x22d7d
timedatestamp.....: 0x40ffec3b (Thu Jul 22 16:32:59 2004)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3030a 0x31000 6.62 b97c1f8b507bf409b60e9cd67f7ea842
.rdata 0x32000 0x5e8c 0x6000 6.46 9f3d1d445d4087c6e2c43c018de218f7
.data 0x38000 0x8f44 0x6000 3.43 032db60d0043761a4c1161d437a8217e
.rsrc 0x41000 0xd60 0x1000 4.25 8372c3cb81ad1148fcc052be64958f7a
( 6 imports )
> KERNEL32.dll: OutputDebugStringA, Sleep, InterlockedExchange, CloseHandle, GetLastError, CreateMutexA, GetVersionExA, WaitForSingleObject, CreateProcessA, GetSystemDirectoryA, FreeLibrary, CompareStringA, GetModuleHandleA, GetModuleFileNameA, GetWindowsDirectoryA, LoadLibraryA, SetLastError, LocalFree, SetEndOfFile, FlushFileBuffers, SetStdHandle, GetStringTypeA, IsBadCodePtr, ReadFile, SetFilePointer, IsBadWritePtr, VirtualAlloc, HeapSize, WriteFile, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, DeleteFileA, FindClose, FindNextFileA, FindFirstFileA, FileTimeToSystemTime, FileTimeToLocalFileTime, CreateFileA, GetSystemTime, GetLocalTime, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, SetUnhandledExceptionFilter, IsBadReadPtr, GetTickCount, RtlUnwind, InterlockedDecrement, InterlockedIncrement, RaiseException, SetEnvironmentVariableA, GetCurrentDirectoryA, SetCurrentDirectoryA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, HeapAlloc, GetTimeZoneInformation, HeapReAlloc, HeapFree, GetDriveTypeA, GetFullPathNameA, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsGetValue, GetACP, GetOEMCP, LCMapStringA, FormatMessageA
> USER32.dll: InvalidateRect, PostQuitMessage, BeginPaint, EndPaint, DefWindowProcA, CreateWindowExA, MessageBoxA, GetActiveWindow, TranslateMessage, PeekMessageA, DispatchMessageA, LoadIconA, LoadMenuA, LoadCursorA, IsWindow, GetDC, GetWindowRect, IsDlgButtonChecked, GetMenu, GetSystemMetrics, AdjustWindowRect, MoveWindow, SetMenu, CheckDlgButton, DestroyMenu, ShowWindow, UpdateWindow, SendMessageA, RegisterClassExA, SetTimer, KillTimer, LoadImageA, ReleaseDC
> ole32.dll: CoInitialize, CoCreateInstance, CoUninitialize
> OLEAUT32.dll: -, -
> VERSION.dll: VerQueryValueA, GetFileVersionInfoA, GetFileVersionInfoSizeA
> SHLWAPI.dll: PathCanonicalizeA, PathAddBackslashA, PathMakePrettyA
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
analyse autorun.exe:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.28 -
AhnLab-V3 5.0.0.2 2010.02.28 -
AntiVir 8.2.1.176 2010.02.26 -
Antiy-AVL 2.0.3.7 2010.02.26 -
Authentium 5.2.0.5 2010.02.27 -
Avast 4.8.1351.0 2010.02.28 -
Avast5 5.0.332.0 2010.02.28 -
AVG 9.0.0.730 2010.02.28 -
BitDefender 7.2 2010.02.28 -
CAT-QuickHeal 10.00 2010.02.27 -
ClamAV 0.96.0.0-git 2010.02.28 -
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.02.28 -
eSafe 7.0.17.0 2010.02.28 -
eTrust-Vet 35.2.7331 2010.02.26 -
F-Prot 4.5.1.85 2010.02.27 -
F-Secure 9.0.15370.0 2010.02.27 -
Fortinet 4.0.14.0 2010.02.28 -
GData 19 2010.02.28 -
Ikarus T3.1.1.80.0 2010.02.28 -
Jiangmin 13.0.900 2010.02.28 -
K7AntiVirus 7.10.984 2010.02.26 -
Kaspersky 7.0.0.125 2010.02.28 -
McAfee 5905 2010.02.27 -
McAfee+Artemis 5905 2010.02.27 -
McAfee-GW-Edition 6.8.5 2010.02.28 -
Microsoft 1.5502 2010.02.28 -
NOD32 4902 2010.02.28 -
Norman 6.04.08 2010.02.28 -
nProtect 2009.1.8.0 2010.02.28 -
Panda 10.0.2.2 2010.02.28 -
PCTools 7.0.3.5 2010.02.28 -
Prevx 3.0 2010.02.28 -
Rising 22.36.06.04 2010.02.28 -
Sophos 4.50.0 2010.02.28 -
Sunbelt 5708 2010.02.28 -
Symantec 20091.2.0.41 2010.02.28 -
TheHacker 6.5.1.7.214 2010.02.28 -
TrendMicro 9.120.0.1004 2010.02.28 -
VBA32 3.12.12.2 2010.02.26 -
ViRobot 2010.2.27.2206 2010.02.27 -
VirusBuster 5.0.27.0 2010.02.27 -
Information additionnelle
File size: 258048 bytes
MD5...: f69c9dd2084e4c848994b76c9790a7be
SHA1..: cae9e70ed10d4f1c8ee2f44e9874dfe9c3263d99
SHA256: 2eab6d8506a81a82e4bccf4f5169ce33808fd2c1df731a080a736aac6770db42
ssdeep: 3072:M9zU7dCp933+QAYiSIy8jYA2CZI6zkRVEeTZp3QaSxZoQAGZNpSz7n/Tb9B
sfj/Z:+UxIGe4joQAySzz8yRi7PwLTBJaXgkD
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x22d7d
timedatestamp.....: 0x40ffec3b (Thu Jul 22 16:32:59 2004)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3030a 0x31000 6.62 b97c1f8b507bf409b60e9cd67f7ea842
.rdata 0x32000 0x5e8c 0x6000 6.46 9f3d1d445d4087c6e2c43c018de218f7
.data 0x38000 0x8f44 0x6000 3.43 032db60d0043761a4c1161d437a8217e
.rsrc 0x41000 0xd60 0x1000 4.25 8372c3cb81ad1148fcc052be64958f7a
( 6 imports )
> KERNEL32.dll: OutputDebugStringA, Sleep, InterlockedExchange, CloseHandle, GetLastError, CreateMutexA, GetVersionExA, WaitForSingleObject, CreateProcessA, GetSystemDirectoryA, FreeLibrary, CompareStringA, GetModuleHandleA, GetModuleFileNameA, GetWindowsDirectoryA, LoadLibraryA, SetLastError, LocalFree, SetEndOfFile, FlushFileBuffers, SetStdHandle, GetStringTypeA, IsBadCodePtr, ReadFile, SetFilePointer, IsBadWritePtr, VirtualAlloc, HeapSize, WriteFile, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, DeleteFileA, FindClose, FindNextFileA, FindFirstFileA, FileTimeToSystemTime, FileTimeToLocalFileTime, CreateFileA, GetSystemTime, GetLocalTime, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, SetUnhandledExceptionFilter, IsBadReadPtr, GetTickCount, RtlUnwind, InterlockedDecrement, InterlockedIncrement, RaiseException, SetEnvironmentVariableA, GetCurrentDirectoryA, SetCurrentDirectoryA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, HeapAlloc, GetTimeZoneInformation, HeapReAlloc, HeapFree, GetDriveTypeA, GetFullPathNameA, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsGetValue, GetACP, GetOEMCP, LCMapStringA, FormatMessageA
> USER32.dll: InvalidateRect, PostQuitMessage, BeginPaint, EndPaint, DefWindowProcA, CreateWindowExA, MessageBoxA, GetActiveWindow, TranslateMessage, PeekMessageA, DispatchMessageA, LoadIconA, LoadMenuA, LoadCursorA, IsWindow, GetDC, GetWindowRect, IsDlgButtonChecked, GetMenu, GetSystemMetrics, AdjustWindowRect, MoveWindow, SetMenu, CheckDlgButton, DestroyMenu, ShowWindow, UpdateWindow, SendMessageA, RegisterClassExA, SetTimer, KillTimer, LoadImageA, ReleaseDC
> ole32.dll: CoInitialize, CoCreateInstance, CoUninitialize
> OLEAUT32.dll: -, -
> VERSION.dll: VerQueryValueA, GetFileVersionInfoA, GetFileVersionInfoSizeA
> SHLWAPI.dll: PathCanonicalizeA, PathAddBackslashA, PathMakePrettyA
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
http://www.virustotal.com/fr/analisis/f7fd802cdf562dee3c9be1619f618ac66d20eefa5d558939a9746e8fa5508695-1267371173
analyse autorun.ico:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.28 -
AhnLab-V3 5.0.0.2 2010.02.28 -
AntiVir 8.2.1.176 2010.02.26 -
Antiy-AVL 2.0.3.7 2010.02.26 -
Authentium 5.2.0.5 2010.02.27 -
Avast 4.8.1351.0 2010.02.28 -
AVG 9.0.0.730 2010.02.28 -
BitDefender 7.2 2010.02.28 -
CAT-QuickHeal 10.00 2010.02.27 -
ClamAV 0.96.0.0-git 2010.02.28 -
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.02.28 -
eSafe 7.0.17.0 2010.02.28 -
eTrust-Vet 35.2.7331 2010.02.26 -
F-Prot 4.5.1.85 2010.02.27 -
F-Secure 9.0.15370.0 2010.02.27 -
Fortinet 4.0.14.0 2010.02.28 -
GData 19 2010.02.28 -
Ikarus T3.1.1.80.0 2010.02.28 -
Jiangmin 13.0.900 2010.02.28 -
K7AntiVirus 7.10.984 2010.02.26 -
Kaspersky 7.0.0.125 2010.02.28 -
McAfee 5905 2010.02.27 -
McAfee+Artemis 5905 2010.02.27 -
McAfee-GW-Edition 6.8.5 2010.02.28 -
Microsoft 1.5502 2010.02.28 -
NOD32 4902 2010.02.28 -
Norman 6.04.08 2010.02.28 -
nProtect 2009.1.8.0 2010.02.28 -
Panda 10.0.2.2 2010.02.28 -
PCTools 7.0.3.5 2010.02.28 -
Prevx 3.0 2010.02.28 -
Rising 22.36.06.04 2010.02.28 -
Sophos 4.50.0 2010.02.28 -
Sunbelt 5708 2010.02.28 -
Symantec 20091.2.0.41 2010.02.28 -
TheHacker 6.5.1.7.214 2010.02.28 -
TrendMicro 9.120.0.1004 2010.02.28 -
VBA32 3.12.12.2 2010.02.26 -
ViRobot 2010.2.27.2206 2010.02.27 -
VirusBuster 5.0.27.0 2010.02.27 -
Information additionnelle
File size: 258048 bytes
MD5 : f69c9dd2084e4c848994b76c9790a7be
SHA1 : cae9e70ed10d4f1c8ee2f44e9874dfe9c3263d99
SHA256: 2eab6d8506a81a82e4bccf4f5169ce33808fd2c1df731a080a736aac6770db42
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x22D7D
timedatestamp.....: 0x40FFEC3B (Thu Jul 22 18:32:59 2004)
machinetype.......: 0x14C (Intel I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3030A 0x31000 6.62 b97c1f8b507bf409b60e9cd67f7ea842
.rdata 0x32000 0x5E8C 0x6000 6.46 9f3d1d445d4087c6e2c43c018de218f7
.data 0x38000 0x8F44 0x6000 3.43 032db60d0043761a4c1161d437a8217e
.rsrc 0x41000 0xD60 0x1000 4.25 8372c3cb81ad1148fcc052be64958f7a
( 6 imports )
> kernel32.dll: OutputDebugStringA, Sleep, InterlockedExchange, CloseHandle, GetLastError, CreateMutexA, GetVersionExA, WaitForSingleObject, CreateProcessA, GetSystemDirectoryA, FreeLibrary, CompareStringA, GetModuleHandleA, GetModuleFileNameA, GetWindowsDirectoryA, LoadLibraryA, SetLastError, LocalFree, SetEndOfFile, FlushFileBuffers, SetStdHandle, GetStringTypeA, IsBadCodePtr, ReadFile, SetFilePointer, IsBadWritePtr, VirtualAlloc, HeapSize, WriteFile, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, DeleteFileA, FindClose, FindNextFileA, FindFirstFileA, FileTimeToSystemTime, FileTimeToLocalFileTime, CreateFileA, GetSystemTime, GetLocalTime, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, SetUnhandledExceptionFilter, IsBadReadPtr, GetTickCount, RtlUnwind, InterlockedDecrement, InterlockedIncrement, RaiseException, SetEnvironmentVariableA, GetCurrentDirectoryA, SetCurrentDirectoryA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, HeapAlloc, GetTimeZoneInformation, HeapReAlloc, HeapFree, GetDriveTypeA, GetFullPathNameA, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsGetValue, GetACP, GetOEMCP, LCMapStringA, FormatMessageA
> ole32.dll: CoInitialize, CoCreateInstance, CoUninitialize
> oleaut32.dll: -, -
> shlwapi.dll: PathCanonicalizeA, PathAddBackslashA, PathMakePrettyA
> user32.dll: InvalidateRect, PostQuitMessage, BeginPaint, EndPaint, DefWindowProcA, CreateWindowExA, MessageBoxA, GetActiveWindow, TranslateMessage, PeekMessageA, DispatchMessageA, LoadIconA, LoadMenuA, LoadCursorA, IsWindow, GetDC, GetWindowRect, IsDlgButtonChecked, GetMenu, GetSystemMetrics, AdjustWindowRect, MoveWindow, SetMenu, CheckDlgButton, DestroyMenu, ShowWindow, UpdateWindow, SendMessageA, RegisterClassExA, SetTimer, KillTimer, LoadImageA, ReleaseDC
> version.dll: VerQueryValueA, GetFileVersionInfoA, GetFileVersionInfoSizeA
( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 3072:M9zU7dCp933+QAYiSIy8jYA2CZI6zkRVEeTZp3QaSxZoQAGZNpSz7n/Tb9Bsfj/Z:+UxIGe4joQAySzz8yRi7PwLTBJaXgkD
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : Armadillo v1.71
RDS : NSRL Reference Data Set
-
analyse autorun.ico:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.28 -
AhnLab-V3 5.0.0.2 2010.02.28 -
AntiVir 8.2.1.176 2010.02.26 -
Antiy-AVL 2.0.3.7 2010.02.26 -
Authentium 5.2.0.5 2010.02.27 -
Avast 4.8.1351.0 2010.02.28 -
AVG 9.0.0.730 2010.02.28 -
BitDefender 7.2 2010.02.28 -
CAT-QuickHeal 10.00 2010.02.27 -
ClamAV 0.96.0.0-git 2010.02.28 -
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.02.28 -
eSafe 7.0.17.0 2010.02.28 -
eTrust-Vet 35.2.7331 2010.02.26 -
F-Prot 4.5.1.85 2010.02.27 -
F-Secure 9.0.15370.0 2010.02.27 -
Fortinet 4.0.14.0 2010.02.28 -
GData 19 2010.02.28 -
Ikarus T3.1.1.80.0 2010.02.28 -
Jiangmin 13.0.900 2010.02.28 -
K7AntiVirus 7.10.984 2010.02.26 -
Kaspersky 7.0.0.125 2010.02.28 -
McAfee 5905 2010.02.27 -
McAfee+Artemis 5905 2010.02.27 -
McAfee-GW-Edition 6.8.5 2010.02.28 -
Microsoft 1.5502 2010.02.28 -
NOD32 4902 2010.02.28 -
Norman 6.04.08 2010.02.28 -
nProtect 2009.1.8.0 2010.02.28 -
Panda 10.0.2.2 2010.02.28 -
PCTools 7.0.3.5 2010.02.28 -
Prevx 3.0 2010.02.28 -
Rising 22.36.06.04 2010.02.28 -
Sophos 4.50.0 2010.02.28 -
Sunbelt 5708 2010.02.28 -
Symantec 20091.2.0.41 2010.02.28 -
TheHacker 6.5.1.7.214 2010.02.28 -
TrendMicro 9.120.0.1004 2010.02.28 -
VBA32 3.12.12.2 2010.02.26 -
ViRobot 2010.2.27.2206 2010.02.27 -
VirusBuster 5.0.27.0 2010.02.27 -
Information additionnelle
File size: 258048 bytes
MD5 : f69c9dd2084e4c848994b76c9790a7be
SHA1 : cae9e70ed10d4f1c8ee2f44e9874dfe9c3263d99
SHA256: 2eab6d8506a81a82e4bccf4f5169ce33808fd2c1df731a080a736aac6770db42
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x22D7D
timedatestamp.....: 0x40FFEC3B (Thu Jul 22 18:32:59 2004)
machinetype.......: 0x14C (Intel I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3030A 0x31000 6.62 b97c1f8b507bf409b60e9cd67f7ea842
.rdata 0x32000 0x5E8C 0x6000 6.46 9f3d1d445d4087c6e2c43c018de218f7
.data 0x38000 0x8F44 0x6000 3.43 032db60d0043761a4c1161d437a8217e
.rsrc 0x41000 0xD60 0x1000 4.25 8372c3cb81ad1148fcc052be64958f7a
( 6 imports )
> kernel32.dll: OutputDebugStringA, Sleep, InterlockedExchange, CloseHandle, GetLastError, CreateMutexA, GetVersionExA, WaitForSingleObject, CreateProcessA, GetSystemDirectoryA, FreeLibrary, CompareStringA, GetModuleHandleA, GetModuleFileNameA, GetWindowsDirectoryA, LoadLibraryA, SetLastError, LocalFree, SetEndOfFile, FlushFileBuffers, SetStdHandle, GetStringTypeA, IsBadCodePtr, ReadFile, SetFilePointer, IsBadWritePtr, VirtualAlloc, HeapSize, WriteFile, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, DeleteFileA, FindClose, FindNextFileA, FindFirstFileA, FileTimeToSystemTime, FileTimeToLocalFileTime, CreateFileA, GetSystemTime, GetLocalTime, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, SetUnhandledExceptionFilter, IsBadReadPtr, GetTickCount, RtlUnwind, InterlockedDecrement, InterlockedIncrement, RaiseException, SetEnvironmentVariableA, GetCurrentDirectoryA, SetCurrentDirectoryA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, HeapAlloc, GetTimeZoneInformation, HeapReAlloc, HeapFree, GetDriveTypeA, GetFullPathNameA, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsGetValue, GetACP, GetOEMCP, LCMapStringA, FormatMessageA
> ole32.dll: CoInitialize, CoCreateInstance, CoUninitialize
> oleaut32.dll: -, -
> shlwapi.dll: PathCanonicalizeA, PathAddBackslashA, PathMakePrettyA
> user32.dll: InvalidateRect, PostQuitMessage, BeginPaint, EndPaint, DefWindowProcA, CreateWindowExA, MessageBoxA, GetActiveWindow, TranslateMessage, PeekMessageA, DispatchMessageA, LoadIconA, LoadMenuA, LoadCursorA, IsWindow, GetDC, GetWindowRect, IsDlgButtonChecked, GetMenu, GetSystemMetrics, AdjustWindowRect, MoveWindow, SetMenu, CheckDlgButton, DestroyMenu, ShowWindow, UpdateWindow, SendMessageA, RegisterClassExA, SetTimer, KillTimer, LoadImageA, ReleaseDC
> version.dll: VerQueryValueA, GetFileVersionInfoA, GetFileVersionInfoSizeA
( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 3072:M9zU7dCp933+QAYiSIy8jYA2CZI6zkRVEeTZp3QaSxZoQAGZNpSz7n/Tb9Bsfj/Z:+UxIGe4joQAySzz8yRi7PwLTBJaXgkD
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : Armadillo v1.71
RDS : NSRL Reference Data Set
-
pendant l'analyse autorun.ico une alerte antivir s'est declenché pour le rootkit. je sais pas si ça a son importante mais je prefere le signaler.
c:\windows\system32\drivers\zroksaq.sys
Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
tu NOMME le fichier CFscript
copie colle le contenu INTEGRAL qui ce trouve a l'interieur du lien dans ton nouveau fichier texte (blocnote) :
killall::
file::
c:\windows\system32\drivers\zroksaq.sys
Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
puis il y a du nouveau....direcetment apres combofix, tu poste le rapport et faut enchainer avec sa, tu le refait
retourne dans demarrer / executer tape
CMD
puis entrée
dans la fenetre noir tu tape
sfc /scannow (il y a un espace entre les 2)
un scan va ce lancer, laisse faire si on te demande le CD de windows met le si tu l'as.
dit moi ce que la commandes a mise et si
Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
tu NOMME le fichier CFscript
copie colle le contenu INTEGRAL qui ce trouve a l'interieur du lien dans ton nouveau fichier texte (blocnote) :
killall::
file::
c:\windows\system32\drivers\zroksaq.sys
Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
puis il y a du nouveau....direcetment apres combofix, tu poste le rapport et faut enchainer avec sa, tu le refait
retourne dans demarrer / executer tape
CMD
puis entrée
dans la fenetre noir tu tape
sfc /scannow (il y a un espace entre les 2)
un scan va ce lancer, laisse faire si on te demande le CD de windows met le si tu l'as.
dit moi ce que la commandes a mise et si
pas de recovery DVD ?
fait quand meme les manip indiquer et dit moi su le scan sfc APRES combofix te demande le CD
fait quand meme les manip indiquer et dit moi su le scan sfc APRES combofix te demande le CD
ComboFix 10-02-26.01 - YannBastian 28/02/2010 20:15:12.3.2 - x86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.33.1036.18.3070.2337 [GMT 1:00]
Lancé depuis: c:\users\YannBastian\Desktop\cbfix.exe
Commutateurs utilisés :: c:\users\YannBastian\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un antivirus résident est actif
FILE ::
"c:\windows\system32\drivers\zroksaq.sys"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\zroksaq.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-28 au 2010-02-28 ))))))))))))))))))))))))))))))))))))
.
2010-02-28 19:24 . 2010-02-28 19:25 -------- d-----w- c:\users\YannBastian\AppData\Local\temp
2010-02-28 19:24 . 2010-02-28 19:24 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-02-28 19:24 . 2010-02-28 19:24 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-02-28 17:52 . 2010-02-28 17:52 22931 ----a-w- C:\Legend of the Seeker_2x13_HDTV.1ère version - legend.of.the.seeker.over-blog.com.fr.zip
2010-02-26 17:51 . 2010-02-26 18:31 -------- d-----w- C:\ComboFix
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\users\YannBastian\AppData\Roaming\Malwarebytes
2010-02-25 16:14 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\programdata\Malwarebytes
2010-02-25 16:14 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-25 14:40 . 2010-02-28 18:05 -------- d-----w- C:\Ad-Remover
2010-02-25 12:32 . 2010-02-25 12:33 -------- d-----w- c:\program files\trend micro
2010-02-25 12:32 . 2010-02-25 12:33 -------- d-----w- C:\rsit
2010-02-17 00:12 . 2010-02-17 00:17 194089856 ----a-w- C:\DungeonDefense_Install_2.2_JeuxVideo.com_14521.exe
2010-02-16 12:24 . 2010-02-16 12:24 467 ----a-w- C:\msmq.reg
2010-02-16 10:14 . 2010-02-17 17:49 23033 ----a-w- C:\Legend of the Seeker_2x11_HDTV.LOL.fr.zip
2010-02-06 16:38 . 2010-02-06 16:53 -------- d-----w- C:\cxl
2010-02-06 16:05 . 2010-02-08 17:47 -------- d-----w- C:\trainer torchlight
2010-02-02 20:16 . 2010-02-02 20:16 1882267 ----a-w- C:\AtlasLoot-v5.09.05.zip
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-28 19:25 . 2009-10-22 17:38 35465 ----a-w- c:\programdata\nvModes.dat
2010-02-28 19:25 . 2009-08-29 12:13 -------- d-----w- c:\program files\Steam
2010-02-28 19:25 . 2008-08-26 10:57 -------- d-----w- c:\programdata\NVIDIA
2010-02-28 18:52 . 2010-01-12 10:02 -------- d-----w- c:\users\YannBastian\AppData\Roaming\vlc
2010-02-28 18:39 . 2009-12-31 02:20 -------- d-----w- c:\program files\Google
2010-02-28 18:08 . 2010-01-24 18:03 -------- d-----w- c:\users\YannBastian\AppData\Roaming\dvdcss
2010-02-28 18:06 . 2009-06-27 18:00 -------- d-----w- c:\programdata\Electronic Arts
2010-02-28 18:05 . 2009-05-17 17:56 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-02-28 17:52 . 2010-02-28 17:52 22931 ----a-w- C:\Legend of the Seeker_2x13_HDTV.1ère version - legend.of.the.seeker.over-blog.com.fr.zip
2010-02-28 17:35 . 2009-07-24 16:30 -------- d-----w- c:\users\YannBastian\AppData\Roaming\Mumble
2010-02-28 15:25 . 2010-01-23 15:33 15944 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2010-02-26 18:47 . 2009-11-24 20:08 -------- d-----w- c:\programdata\boost_interprocess
2010-02-24 14:07 . 2010-02-24 14:06 16 ----a-w- c:\users\YannBastian\AppData\Roaming\rbuwzv.dat
2010-02-24 08:16 . 2009-10-02 16:53 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-12 00:05 . 2009-07-04 07:32 284 ----a-w- c:\users\YannBastian\AppData\Roaming\wklnhst.dat
2010-02-11 02:17 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-02-08 17:52 . 2009-07-24 16:30 -------- d-----w- c:\program files\Mumble
2010-02-03 04:48 . 2009-01-28 11:30 -------- d-----w- c:\program files\World of Warcraft
2010-01-23 15:40 . 2010-01-23 15:33 -------- d-----w- c:\programdata\Hitman Pro
2010-01-23 15:33 . 2010-01-23 15:33 -------- d-----w- c:\program files\Hitman Pro 3.5
2010-01-23 15:33 . 2010-01-23 15:32 4955456 ----a-w- C:\HitmanPro35.exe
2010-01-21 07:48 . 2010-01-21 07:48 3268476 ----a-w- c:\programdata\AuctioneerSuite-5.7.4568.zip
2010-01-17 21:35 . 2010-01-17 21:35 1090977 ----a-w- c:\programdata\DBM-4.38-r3147-Core-and-WotLK-Mods.zip
2010-01-12 10:00 . 2010-01-12 10:00 -------- d-----w- c:\program files\VideoLAN
2010-01-12 09:59 . 2010-01-12 09:59 18030130 ----a-w- C:\vlc-1.0.3-win32.exe
2010-01-08 02:15 . 2008-08-26 10:59 -------- d-----w- c:\programdata\CyberLink
2009-12-31 02:20 . 2009-02-14 18:12 -------- d-----w- c:\program files\DivX
2009-12-31 02:20 . 2009-12-31 02:20 -------- d-----w- c:\program files\Common Files\DivX Shared
2009-12-28 12:35 . 2010-02-10 02:10 11776 ----a-w- c:\windows\system32\tsbyuv.dll
2009-12-28 12:35 . 2010-02-10 02:10 1314816 ----a-w- c:\windows\system32\quartz.dll
2009-12-28 12:32 . 2010-02-10 02:10 22528 ----a-w- c:\windows\system32\msyuv.dll
2009-12-28 12:32 . 2010-02-10 02:10 31744 ----a-w- c:\windows\system32\msvidc32.dll
2009-12-28 12:32 . 2010-02-10 02:10 123904 ----a-w- c:\windows\system32\msvfw32.dll
2009-12-28 12:32 . 2010-02-10 02:10 13312 ----a-w- c:\windows\system32\msrle32.dll
2009-12-28 12:31 . 2010-02-10 02:10 82944 ----a-w- c:\windows\system32\mciavi32.dll
2009-12-28 12:31 . 2010-02-10 02:10 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2009-12-28 12:28 . 2010-02-10 02:10 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-12-28 12:28 . 2010-02-10 02:10 65024 ----a-w- c:\windows\system32\avicap32.dll
2009-12-20 12:36 . 2009-12-20 12:36 12862712 ----a-w- C:\mumble-2009-12-16-1633-718da1.exe
2009-12-18 13:05 . 2010-01-22 03:36 833024 ----a-w- c:\windows\system32\wininet.dll
2009-12-18 13:01 . 2010-01-22 03:36 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-12-18 10:14 . 2010-01-22 03:36 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-11 12:07 . 2010-02-10 02:10 301568 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-11 12:07 . 2010-02-10 02:10 98304 ----a-w- c:\windows\system32\drivers\srvnet.sys
2009-12-10 17:12 . 2009-12-10 17:12 246754 ----a-w- C:\Bartender4-4.4.2.zip
2009-12-09 19:37 . 2009-12-09 19:36 683716 ----a-w- C:\XPerl-3.0.7__3.3_Release_.zip
2009-12-09 19:36 . 2009-12-09 19:36 1058232 ----a-w- C:\DBM-4.32-r2645-Core-and-WotLK-Mods.zip
2009-12-08 20:52 . 2010-02-10 02:10 897624 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-12-08 20:52 . 2010-02-10 02:10 3597912 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 20:52 . 2010-02-10 02:10 3546200 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-08 14:04 . 2009-12-08 14:04 12836528 ----a-w- C:\Mumble-1.2.0~beta2.exe
2009-12-04 16:12 . 2010-02-10 02:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2009-12-04 16:12 . 2010-02-10 02:10 105472 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-12-04 12:37 . 2008-08-26 20:24 669328 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-04 12:37 . 2008-08-26 20:24 123350 ----a-w- c:\windows\system32\perfc00C.dat
2004-07-23 14:50 . 2009-05-17 13:30 4363 ------w- c:\program files\ReadMe.txt
2004-07-23 07:53 . 2009-05-17 13:30 258048 ------w- c:\program files\Autorun.exe
2004-05-17 12:56 . 2009-05-17 13:30 3262 ------w- c:\program files\MedievalLords.ico
2003-12-19 10:45 . 2009-05-17 13:30 766 ------w- c:\program files\Autorun.ico
2003-12-19 10:45 . 2009-05-17 13:30 245408 ------w- c:\program files\unicows.dll
2008-08-26 20:38 . 2008-08-26 20:38 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"Steam"="c:\program files\steam\steam.exe" [2010-02-20 1217872]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-02 75008]
"DPService"="c:\program files\HP\DVDPlay\DPService.exe" [2008-06-11 90112]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [27/09/2009 15:48 240232]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:33 21504]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\users\YannBastian\AppData\Roaming\Mozilla\Firefox\Profiles\g2ay6tdk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&SearchSource=3&q={searchTerms}
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&q=
FF - component: c:\users\YannBastian\AppData\Roaming\Mozilla\Firefox\Profiles\g2ay6tdk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-28 20:25
Windows 6.0.6001 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll prosync1.sys >>UNKNOWN [0x853211F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x8a296322
\Driver\ACPI -> acpi.sys @ 0x82342d4c
\Driver\atapi -> prosync1.sys @ 0x8a95d6e1
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-3430781819-4112138520-4176161753-1000\Software\SecuROM\License information*]
"datasecu"=hex:78,d7,71,06,eb,9d,f2,3f,5e,7c,94,76,94,37,9b,ac,02,00,40,61,30,
07,ea,ad,b6,b0,22,f4,10,06,3b,81,ab,c4,8c,bf,a9,e9,dd,5d,31,4a,5c,9c,d9,a6,\
"rkeysecu"=hex:3e,80,9e,c4,40,b4,90,83,87,8e,33,49,64,ac,f8,d9
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\conime.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-02-28 20:34:17 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-28 19:34
ComboFix2.txt 2010-02-28 15:20
ComboFix3.txt 2010-02-26 18:31
Avant-CF: 168 686 702 592 octets libres
Après-CF: 168 854 245 376 octets libres
- - End Of File - - 08272C42757BAF47989B403DF79B5846
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.33.1036.18.3070.2337 [GMT 1:00]
Lancé depuis: c:\users\YannBastian\Desktop\cbfix.exe
Commutateurs utilisés :: c:\users\YannBastian\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un antivirus résident est actif
FILE ::
"c:\windows\system32\drivers\zroksaq.sys"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\zroksaq.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-28 au 2010-02-28 ))))))))))))))))))))))))))))))))))))
.
2010-02-28 19:24 . 2010-02-28 19:25 -------- d-----w- c:\users\YannBastian\AppData\Local\temp
2010-02-28 19:24 . 2010-02-28 19:24 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-02-28 19:24 . 2010-02-28 19:24 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-02-28 17:52 . 2010-02-28 17:52 22931 ----a-w- C:\Legend of the Seeker_2x13_HDTV.1ère version - legend.of.the.seeker.over-blog.com.fr.zip
2010-02-26 17:51 . 2010-02-26 18:31 -------- d-----w- C:\ComboFix
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\users\YannBastian\AppData\Roaming\Malwarebytes
2010-02-25 16:14 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\programdata\Malwarebytes
2010-02-25 16:14 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-25 14:40 . 2010-02-28 18:05 -------- d-----w- C:\Ad-Remover
2010-02-25 12:32 . 2010-02-25 12:33 -------- d-----w- c:\program files\trend micro
2010-02-25 12:32 . 2010-02-25 12:33 -------- d-----w- C:\rsit
2010-02-17 00:12 . 2010-02-17 00:17 194089856 ----a-w- C:\DungeonDefense_Install_2.2_JeuxVideo.com_14521.exe
2010-02-16 12:24 . 2010-02-16 12:24 467 ----a-w- C:\msmq.reg
2010-02-16 10:14 . 2010-02-17 17:49 23033 ----a-w- C:\Legend of the Seeker_2x11_HDTV.LOL.fr.zip
2010-02-06 16:38 . 2010-02-06 16:53 -------- d-----w- C:\cxl
2010-02-06 16:05 . 2010-02-08 17:47 -------- d-----w- C:\trainer torchlight
2010-02-02 20:16 . 2010-02-02 20:16 1882267 ----a-w- C:\AtlasLoot-v5.09.05.zip
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-28 19:25 . 2009-10-22 17:38 35465 ----a-w- c:\programdata\nvModes.dat
2010-02-28 19:25 . 2009-08-29 12:13 -------- d-----w- c:\program files\Steam
2010-02-28 19:25 . 2008-08-26 10:57 -------- d-----w- c:\programdata\NVIDIA
2010-02-28 18:52 . 2010-01-12 10:02 -------- d-----w- c:\users\YannBastian\AppData\Roaming\vlc
2010-02-28 18:39 . 2009-12-31 02:20 -------- d-----w- c:\program files\Google
2010-02-28 18:08 . 2010-01-24 18:03 -------- d-----w- c:\users\YannBastian\AppData\Roaming\dvdcss
2010-02-28 18:06 . 2009-06-27 18:00 -------- d-----w- c:\programdata\Electronic Arts
2010-02-28 18:05 . 2009-05-17 17:56 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-02-28 17:52 . 2010-02-28 17:52 22931 ----a-w- C:\Legend of the Seeker_2x13_HDTV.1ère version - legend.of.the.seeker.over-blog.com.fr.zip
2010-02-28 17:35 . 2009-07-24 16:30 -------- d-----w- c:\users\YannBastian\AppData\Roaming\Mumble
2010-02-28 15:25 . 2010-01-23 15:33 15944 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2010-02-26 18:47 . 2009-11-24 20:08 -------- d-----w- c:\programdata\boost_interprocess
2010-02-24 14:07 . 2010-02-24 14:06 16 ----a-w- c:\users\YannBastian\AppData\Roaming\rbuwzv.dat
2010-02-24 08:16 . 2009-10-02 16:53 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-12 00:05 . 2009-07-04 07:32 284 ----a-w- c:\users\YannBastian\AppData\Roaming\wklnhst.dat
2010-02-11 02:17 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-02-08 17:52 . 2009-07-24 16:30 -------- d-----w- c:\program files\Mumble
2010-02-03 04:48 . 2009-01-28 11:30 -------- d-----w- c:\program files\World of Warcraft
2010-01-23 15:40 . 2010-01-23 15:33 -------- d-----w- c:\programdata\Hitman Pro
2010-01-23 15:33 . 2010-01-23 15:33 -------- d-----w- c:\program files\Hitman Pro 3.5
2010-01-23 15:33 . 2010-01-23 15:32 4955456 ----a-w- C:\HitmanPro35.exe
2010-01-21 07:48 . 2010-01-21 07:48 3268476 ----a-w- c:\programdata\AuctioneerSuite-5.7.4568.zip
2010-01-17 21:35 . 2010-01-17 21:35 1090977 ----a-w- c:\programdata\DBM-4.38-r3147-Core-and-WotLK-Mods.zip
2010-01-12 10:00 . 2010-01-12 10:00 -------- d-----w- c:\program files\VideoLAN
2010-01-12 09:59 . 2010-01-12 09:59 18030130 ----a-w- C:\vlc-1.0.3-win32.exe
2010-01-08 02:15 . 2008-08-26 10:59 -------- d-----w- c:\programdata\CyberLink
2009-12-31 02:20 . 2009-02-14 18:12 -------- d-----w- c:\program files\DivX
2009-12-31 02:20 . 2009-12-31 02:20 -------- d-----w- c:\program files\Common Files\DivX Shared
2009-12-28 12:35 . 2010-02-10 02:10 11776 ----a-w- c:\windows\system32\tsbyuv.dll
2009-12-28 12:35 . 2010-02-10 02:10 1314816 ----a-w- c:\windows\system32\quartz.dll
2009-12-28 12:32 . 2010-02-10 02:10 22528 ----a-w- c:\windows\system32\msyuv.dll
2009-12-28 12:32 . 2010-02-10 02:10 31744 ----a-w- c:\windows\system32\msvidc32.dll
2009-12-28 12:32 . 2010-02-10 02:10 123904 ----a-w- c:\windows\system32\msvfw32.dll
2009-12-28 12:32 . 2010-02-10 02:10 13312 ----a-w- c:\windows\system32\msrle32.dll
2009-12-28 12:31 . 2010-02-10 02:10 82944 ----a-w- c:\windows\system32\mciavi32.dll
2009-12-28 12:31 . 2010-02-10 02:10 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2009-12-28 12:28 . 2010-02-10 02:10 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-12-28 12:28 . 2010-02-10 02:10 65024 ----a-w- c:\windows\system32\avicap32.dll
2009-12-20 12:36 . 2009-12-20 12:36 12862712 ----a-w- C:\mumble-2009-12-16-1633-718da1.exe
2009-12-18 13:05 . 2010-01-22 03:36 833024 ----a-w- c:\windows\system32\wininet.dll
2009-12-18 13:01 . 2010-01-22 03:36 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-12-18 10:14 . 2010-01-22 03:36 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-11 12:07 . 2010-02-10 02:10 301568 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-11 12:07 . 2010-02-10 02:10 98304 ----a-w- c:\windows\system32\drivers\srvnet.sys
2009-12-10 17:12 . 2009-12-10 17:12 246754 ----a-w- C:\Bartender4-4.4.2.zip
2009-12-09 19:37 . 2009-12-09 19:36 683716 ----a-w- C:\XPerl-3.0.7__3.3_Release_.zip
2009-12-09 19:36 . 2009-12-09 19:36 1058232 ----a-w- C:\DBM-4.32-r2645-Core-and-WotLK-Mods.zip
2009-12-08 20:52 . 2010-02-10 02:10 897624 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-12-08 20:52 . 2010-02-10 02:10 3597912 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 20:52 . 2010-02-10 02:10 3546200 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-08 14:04 . 2009-12-08 14:04 12836528 ----a-w- C:\Mumble-1.2.0~beta2.exe
2009-12-04 16:12 . 2010-02-10 02:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2009-12-04 16:12 . 2010-02-10 02:10 105472 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-12-04 12:37 . 2008-08-26 20:24 669328 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-04 12:37 . 2008-08-26 20:24 123350 ----a-w- c:\windows\system32\perfc00C.dat
2004-07-23 14:50 . 2009-05-17 13:30 4363 ------w- c:\program files\ReadMe.txt
2004-07-23 07:53 . 2009-05-17 13:30 258048 ------w- c:\program files\Autorun.exe
2004-05-17 12:56 . 2009-05-17 13:30 3262 ------w- c:\program files\MedievalLords.ico
2003-12-19 10:45 . 2009-05-17 13:30 766 ------w- c:\program files\Autorun.ico
2003-12-19 10:45 . 2009-05-17 13:30 245408 ------w- c:\program files\unicows.dll
2008-08-26 20:38 . 2008-08-26 20:38 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"Steam"="c:\program files\steam\steam.exe" [2010-02-20 1217872]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-02 75008]
"DPService"="c:\program files\HP\DVDPlay\DPService.exe" [2008-06-11 90112]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [27/09/2009 15:48 240232]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:33 21504]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\users\YannBastian\AppData\Roaming\Mozilla\Firefox\Profiles\g2ay6tdk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&SearchSource=3&q={searchTerms}
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&q=
FF - component: c:\users\YannBastian\AppData\Roaming\Mozilla\Firefox\Profiles\g2ay6tdk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-28 20:25
Windows 6.0.6001 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll prosync1.sys >>UNKNOWN [0x853211F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x8a296322
\Driver\ACPI -> acpi.sys @ 0x82342d4c
\Driver\atapi -> prosync1.sys @ 0x8a95d6e1
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-3430781819-4112138520-4176161753-1000\Software\SecuROM\License information*]
"datasecu"=hex:78,d7,71,06,eb,9d,f2,3f,5e,7c,94,76,94,37,9b,ac,02,00,40,61,30,
07,ea,ad,b6,b0,22,f4,10,06,3b,81,ab,c4,8c,bf,a9,e9,dd,5d,31,4a,5c,9c,d9,a6,\
"rkeysecu"=hex:3e,80,9e,c4,40,b4,90,83,87,8e,33,49,64,ac,f8,d9
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\conime.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-02-28 20:34:17 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-28 19:34
ComboFix2.txt 2010-02-28 15:20
ComboFix3.txt 2010-02-26 18:31
Avant-CF: 168 686 702 592 octets libres
Après-CF: 168 854 245 376 octets libres
- - End Of File - - 08272C42757BAF47989B403DF79B5846
le scan est fait. "protections des ressources des fichiers endommagés, mais n'a pas réussi à les réparer"
y a un log du scan en txt mais il fait 18 kilomètres de long.
y a un log du scan en txt mais il fait 18 kilomètres de long.
poste via ce site stp, le rapport que tu as eu.
http://www.cijoint.fr/
tu as un fichier patche, l'infection rootkit va surement revenir...
tu as pas la possibiliter de te faire preter un CD de la meme versdion que ton WIndows ?
je vais regarder avec le rapport si j'arrive a idenifier le fichier et a ce moment la jte le fait parvenir ;)
mais faut faire vite, l'infection s'adapte au debut tu n'avais pas de fichier patch
@+
http://www.cijoint.fr/
tu as un fichier patche, l'infection rootkit va surement revenir...
tu as pas la possibiliter de te faire preter un CD de la meme versdion que ton WIndows ?
je vais regarder avec le rapport si j'arrive a idenifier le fichier et a ce moment la jte le fait parvenir ;)
mais faut faire vite, l'infection s'adapte au debut tu n'avais pas de fichier patch
@+
euh le fichier du log fait 41 mo o_O il passe pas.
pour ce qui est du CD non j'en ai pas, mais j'ai une partition D:factoru image avec un fichier recovery.
pour ce qui est du CD non j'en ai pas, mais j'ai une partition D:factoru image avec un fichier recovery.
j'ai effacé le log précédent et relancé un scan. voilà le log
http://www.cijoint.fr/cjlink.php?file=cj201003/cija7xeryO.txt
http://www.cijoint.fr/cjlink.php?file=cj201003/cija7xeryO.txt
ok je t'avoue que je comprends pas grand chose ^^
en gros j'arrive pas a trouver quel(s) fichier est endommager
je t'oublie pas je vois si jpeux t'aider
@+ tard
en gros j'arrive pas a trouver quel(s) fichier est endommager
je t'oublie pas je vois si jpeux t'aider
@+ tard
clemtheboss reste ou tu es c'est bon merci
Kaeldos => ne fait AUCUNE autre manip que celle que je te donne, meme toi de ta propre initiative !!
je te tiens au courant
Kaeldos => ne fait AUCUNE autre manip que celle que je te donne, meme toi de ta propre initiative !!
je te tiens au courant