DownloaderW32.tolsky et trojanspy.zbot.afkow

Résolu

gaellia Messages postés 30 Date d'inscription Statut Membre Dernière intervention -
supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention - 13 mars 2010 à 13:17

Bonjour,

Mon ordi ne va pas bien !!!
F-secure (l'anti virus installé) me dit :
(+ 11 Virus en quarantaine (les 2 du titre et packedW32.krap.ao , trojanW32 chifrax.d , trojan clikerW32.Autoit ...)

Rapport d'analyse
mercredi 24 février 2010 15:49:01 - 16:45:52
Nom de l'ordinateur : ACER-CAB9EEA47C
Type d'analyse : Effectuer une analyse complète de l'ordinateur
Cible : C:\ D:\ + système + rootkits

--------------------------------------------------------------------------------

Résultat: 5 antiprogramme(s) détecté(s)
Trojan-Downloader.Win32.Tolsty.j (virus)
C:\Program Files\eMule\Incoming\Jeux\Sally's Spa-PreCracked-Gamehouse-HIVBABY.rar\SallysSpa.exe
Trojan-Spy.Win32.Zbot.afkw (virus)
C:\System Volume Information\_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP586\A0108618.EXE Action : renommé
C:\System Volume Information\_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP585\A0108455.exe Action : renommé
C:\System Volume Information\_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP585\A0108456.exe Action : renommé
C:\System Volume Information\_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP584\A0108402.exe Action : renommé

Seulement voilà, je crois que de les renommer ça n'a pas vraiment aidé, en plus j'en ai déjà pas mal en quarantaine.
Ma question : comment savoir si on peut les supprimer de la quarantaine (et comment ???) ?
Je pense avoir lu quelque part que ce sont les sauvegardes des restaurations système infectées, il faut les effacer ?

Mon autre problème c'est que j'ai je sais pas combien de programmes qui tournent, je les vois dans le gestionnaire des tâches, et là encore je ne sais pas comment savoir lesquels supprimer et comment le faire définitivement ! Bon je sais qu'il y en a d'indispensables mais là c'est vraiment trop.

Puis j'ai lu qu'avec CCleaner on ne devait pas sauvegarder les modifications du registre (quand on repare les erreurs), je les ai tjs gardées moi, je les efface ?

J'ai oublié de vous dire que spybot ne trouve rien et tant qu'a faire :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:45:10, on 24/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxctcoms.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsus.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\admtray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\user\Application Data\services.exe
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [LXCTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O20 - AppInit_DLLs: dswdzf.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\ORSP Client\fsorsp.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

End of file - 12084 bytes

Vous avez les clefs en main !!!
J'attend avec impatience votre aide.

Bon j'arrête sinon vous allez partir en courant.

Please help !
Thanks
:-)

Afficher la suite

50 réponses

Réponse 21 / 50

gaellia Messages postés 30 Date d'inscription Statut Membre Dernière intervention 2

Le truc c'est que je ne sais pas si tout s'est bien fait correctement, je me suis endormie pendant que combofix travaillait et quand je me suis réveillée l'ordi était éteint (des fois mon chat saute sur le meuble et ferme l'ordi en s'allongeant dessus, ce qui le ferme et l'éteint).
Quand je l'ai rallumé, ça m'a dit combofix prépare le rapport...
Tu penses que c'est bon ?

Autre chose, j'ai du redemarer (il rammait trop) et ça m'a écrit un truc du style : l'instruction... mémoire... puré je sais plus... j'ai du mettre OK ...

Réponse 22 / 50

supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention

ok, je vais analyser ça, et je te fourni uns script dans la soirée.

Réponse 23 / 50

supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention

alors :

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour gaellia; il n'est pas transposable sur un autre ordinateur !

• Télécharge ce dossier http://ww38.toofiles.com/fr/oip/documents/zip/cfscript.html
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un fichier CFScript.txt se trouve à l'intérieur et se place sur le Bureau.
• Désactive tes logiciels de protection

• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur cette image=> http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.

• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

++

Réponse 24 / 50

gaellia Messages postés 30 Date d'inscription Statut Membre Dernière intervention 2

pour info :

Oups ! Petit problème... Ce lien semble brisé.Suggestions :
•Accédez à la page : mabul.org
•Rechercher apu.mabul.org pour apu 2008 img 2258535my8h
•Rechercher sur Google

Je le ferai demain !
A +

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 50

supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention

Re- !

gros oups !

désolé pour le lien : il n'est plus valide, en effet.
Celui là est bon => http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

Le reste de mon message ne change pas.

j'attends ta réponse ;)

Réponse 26 / 50

gaellia Messages postés 30 Date d'inscription Statut Membre Dernière intervention 2

Voila

ComboFix 10-03-03.09 - user 07/03/2010 10:01:48.2.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.643 [GMT 1:00]
Lancé depuis: c:\documents and settings\user\Bureau\gaellia.exe
Commutateurs utilisés :: c:\documents and settings\user\Bureau\CFScript.txt
AV: AntiVirus Firewall 8.01 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: AntiVirus Firewall 8.01 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}

FILE ::
"c:\docume~1\user\LOCALS~1\Temp\DMSKSSRh.sys"
"c:\windows\system32\drivers\msspac.sys"
"c:\windows\system32\dswdzf.dll"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DMSKSSRH
-------\Legacy_MSSPAC
-------\Service_DMSKSSRh
-------\Service_msspac

((((((((((((((((((((((((((((( Fichiers créés du 2010-02-07 au 2010-03-07 ))))))))))))))))))))))))))))))))))))
.

2010-03-02 19:10 . 2010-03-02 19:10 308443 ----a-w- C:\UsbFix_Upload_Me_ACER-CAB9EEA47C.zip
2010-03-02 18:55 . 2010-03-02 18:55 5115823 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-03-01 18:42 . 2010-03-01 18:43 -------- d-----w- C:\UsbFix
2010-02-28 17:41 . 2010-02-28 17:41 -------- d-----w- C:\rsit
2010-02-27 14:56 . 2010-02-27 14:56 -------- d-----w- c:\program files\Vacation Mogul
2010-02-26 18:55 . 2010-02-26 18:55 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Temp
2010-02-23 17:13 . 2010-02-23 17:13 -------- d-----w- c:\windows\DQ Tycoon
2010-02-23 13:34 . 2010-02-23 13:34 -------- d-----w- c:\windows\system32\wbem\Repository
2010-02-21 20:41 . 2010-02-21 20:41 -------- d-----w- c:\documents and settings\user\logs
2010-02-19 16:46 . 2010-02-19 16:46 -------- d-----w- c:\documents and settings\user\Application Data\1morebee
2010-02-18 17:53 . 2010-02-18 17:53 -------- d-----w- c:\program files\Sally's Spa
2010-02-17 16:45 . 2010-02-17 16:45 -------- d-----w- c:\documents and settings\All Users\SallysSpa
2010-02-09 13:55 . 2010-02-09 13:55 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2010-02-09 13:50 . 2010-02-09 13:50 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-28 21:05 . 2008-04-30 12:54 1 ----a-w- c:\documents and settings\user\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-01-17 17:06 . 2010-01-17 17:06 -------- d-----w- c:\documents and settings\All Users\Application Data\FarmFrenzy3_America
2010-01-17 17:06 . 2010-01-17 17:06 -------- d-----w- c:\documents and settings\All Users\Application Data\AlawarWrapper
2010-01-17 17:05 . 2010-01-17 17:05 -------- d-----w- c:\program files\Farm Frenzy 3 American Pie
2010-01-17 16:23 . 2010-01-17 16:23 -------- d-----w- c:\documents and settings\user\Application Data\BlamGames
2010-01-16 16:22 . 2010-01-16 16:22 -------- d-----w- c:\documents and settings\All Users\Application Data\rionix
2010-01-14 17:52 . 2010-01-14 17:52 -------- d-----w- c:\documents and settings\user\Application Data\Ludia
2010-01-14 17:52 . 2010-01-14 17:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Ludia
2010-01-13 17:29 . 2010-01-13 17:29 -------- d-----w- c:\program files\Burger Shop 2
2010-01-09 18:19 . 2010-01-09 18:19 -------- d-----w- c:\documents and settings\user\Application Data\VampireSaga
2010-01-07 15:07 . 2008-12-29 00:03 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2008-12-29 00:03 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-31 16:50 . 2004-08-05 04:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:07 . 2004-08-05 04:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-17 07:41 . 2004-08-05 04:00 347648 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:09 . 2004-08-05 04:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-10 16:41 . 2006-01-06 16:16 89078 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-10 16:41 . 2006-01-06 16:16 519658 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-09 10:09 . 2004-08-05 04:00 2068096 ------w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:09 . 2004-08-05 04:00 2191232 ------w- c:\windows\system32\ntoskrnl.exe
2008-08-20 11:53 . 2008-08-20 11:53 0 ----a-w- c:\program files\temp01
2008-05-31 10:24 . 2008-05-31 11:11 774144 ----a-w- c:\program files\RngInterstitial.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-03-06_13.48.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-07 09:09 . 2010-03-07 09:09 16384 c:\windows\Temp\Perflib_Perfdata_5b0.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-22 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-16 15600128]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-01-07 102491]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-01-07 692315]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-18 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-18 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-18 114688]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-10-19 69632]
"EPM-DM"="c:\acer\Empowering Technology\ePower\epm-dm.exe" [2005-11-25 212992]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2005-11-09 3084288]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2005-12-01 458752]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 397312]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-28 344064]
"F-Secure Manager"="c:\program files\AntivirusFirewall\Common\FSM32.EXE" [2008-12-04 182936]
"F-Secure TNB"="c:\program files\AntivirusFirewall\FSGUI\TNBUtil.exe" [2008-12-04 957024]
"LXCTCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-06-07 106496]
"BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
2006-06-07 03:05 98304 ----a-w- c:\program files\Lexmark 5400 Series\ezprint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark 5400 Series Fax Server]
2006-07-10 23:30 294912 ----a-w- c:\program files\Lexmark 5400 Series\fm3032.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxctmon.exe]
2006-06-20 13:37 286720 ----a-w- c:\program files\Lexmark 5400 Series\lxctmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2005-08-31 18:59 147456 ------w- c:\program files\Acer\Acer Arcade\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2005-10-26 16:17 159744 ----a-r- c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
2008-04-01 17:35 3587120 ----a-w- c:\program files\Veoh Networks\Veoh\VeohClient.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"c:\\Program Files\\Messenger\\MSMSGS.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\System32\\lxctcoms.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=
"c:\\Program Files\\TVAnts\\Tvants.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020
"7561:TCP"= 7561:TCP:emuletcp
"7571:UDP"= 7571:UDP:emuleudp

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [19/04/2009 13:43 33920]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [23/12/2007 19:07 79872]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/01/2008 16:52 715248]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\AntivirusFirewall\HIPS\drivers\fshs.sys [19/04/2009 13:42 67808]
R2 X4HSX32Ex;X4HSX32Ex;c:\program files\Player Metaboli\X4HSX32Ex.sys [15/05/2009 17:08 29856]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\AntivirusFirewall\Anti-Virus\minifilter\fsgk.sys [23/12/2007 19:06 107104]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\AntivirusFirewall\ORSP Client\fsorsp.exe [19/04/2009 13:42 55904]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [09/02/2010 14:50 135664]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\AntivirusFirewall\Anti-Virus\win2k\FSfilter.sys [23/12/2007 19:06 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\AntivirusFirewall\Anti-Virus\win2k\FSrec.sys [23/12/2007 19:06 25184]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - INT15.SYS
.
Contenu du dossier 'Tâches planifiées'

2010-03-06 c:\windows\Tasks\Scheduled scanning task.job
- c:\progra~1\ANTIVI~1\ANTI-V~1\fsav.exe [2007-12-23 14:57]

2010-03-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-03-07 c:\windows\Tasks\User_Feed_Synchronization-{B7BFFE3E-DFF1-4BF0-8F20-2CAF471FB671}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]

2010-03-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-09 13:50]

2010-03-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-09 13:50]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Sample Toolband Serach - c:\windows\system32\ToolBand.dll/MENUSEARCH.HTM
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
LSP: c:\program files\AntivirusFirewall\FSPS\program\FSLSP.DLL
DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} - hxxp://picasaweb.google.com/s/v/59.20/uploader2.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-07 10:10
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCTCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spgn.sys >>UNKNOWN [0x87187944]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7691f28
\Driver\ACPI -> ACPI.sys @ 0xf738dcb8
\Driver\atapi -> atapi.sys @ 0xf732ab40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
SecurityProcedure -> ntkrnlpa.exe @ 0x80579208
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
SecurityProcedure -> ntkrnlpa.exe @ 0x80579208
NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.SYS @ 0xf7245bb0
PacketIndicateHandler -> NDIS.SYS @ 0xf7252a21
SendHandler -> NDIS.SYS @ 0xf723087b
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\Ati2evxx.dll
c:\program files\AntivirusFirewall\FWES\Program\fsdc32.dll

- - - - - - - > 'lsass.exe'(860)
c:\program files\AntivirusFirewall\FSPS\program\FSLSP.DLL
c:\program files\AntivirusFirewall\FWES\Program\fsdc32.dll

- - - - - - - > 'explorer.exe'(2728)
c:\windows\system32\MSNChatHook.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\MSVCR71.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll

- - - - - - - > 'csrss.exe'(444)
c:\program files\AntivirusFirewall\FWES\Program\fsdc32.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\acer\Empowering Technology\admServ.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\program files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
c:\program files\AntivirusFirewall\Common\FSMA32.EXE
c:\program files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
c:\program files\AntivirusFirewall\Common\FSMB32.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\lxctcoms.exe
c:\program files\AntivirusFirewall\Common\FCH32.EXE
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\AntivirusFirewall\Common\FAMEH32.EXE
c:\program files\AntivirusFirewall\Anti-Virus\fsqh.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\windows\system32\wscntfy.exe
c:\program files\AntivirusFirewall\FSGUI\fsguidll.exe
c:\program files\AntivirusFirewall\FSAUA\program\fsaua.exe
c:\program files\AntivirusFirewall\Anti-Virus\fssm32.exe
c:\program files\AntivirusFirewall\FWES\Program\fsdfwd.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\AntivirusFirewall\FSAUA\program\fsus.exe
c:\program files\AntivirusFirewall\Anti-Virus\fsav32.exe
.
**************************************************************************
.
Heure de fin: 2010-03-07 10:14:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-07 09:14
ComboFix2.txt 2010-03-06 13:54

Avant-CF: 3 744 464 896 octets libres
Après-CF: 3 726 147 584 octets libres

- - End Of File - - 5158A2964C03D49EC9633E678DBDEE9B

Réponse 27 / 50

supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention

Salut !

ok,

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

• Rends toi sur cette page : http://www.gmer.net/
et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
• A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
• Suis ce tutoriel pour héberger le rapport et poste le lien correspondant dans ta prochaine réponse:
https://www.androidworld.fr/

++

Réponse 28 / 50

gaellia Messages postés 30 Date d'inscription Statut Membre Dernière intervention 2

Je voulais te demander, dans mon antivirus j'ai pleins d'éléments en quarantaine j'arrive pas a copier/coller pour que tu voies, alors je vais essayer de les réecrire :

Trojan-spy.win32.Zbot.afkw dans C:/system volume information/-restore...
Trojan.win32.Monder Infection du système
Trojan-downloader.Win32.Tolsty Infection du système (celui là y est x3)
Trojan-cliker.win32.AutoIt Infection du système
Packed.Win32.Krap.ao C:/doc and settings/user/local settings/temp/IXP001.TMP/your_exe.exe
Trojan.Win32.Chifrax.d C:/DOCUME-1/user/LOCALS-1/temp/ancient rome.exe
Trojan-spy.win32.Zbot Infection du système
Trojan-spy.win32.Zbot.afkw C:/system volume information/-restore... (x3)

J'en fait quoi ?
Je désactive la restauration ? Mais du coup tout ce qu'a crée combofix (points de restaurations) ??????

Réponse 29 / 50

supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention

tu fasi ce que je t'ai dit dans le message précédent ;)

Réponse 30 / 50

gaellia Messages postés 30 Date d'inscription Statut Membre Dernière intervention 2

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-07 10:56:57
Windows 5.1.2600 Service Pack 3
Running: gaellia2.exe; Driver: C:\DOCUME~1\user\LOCALS~1\Temp\uwxiqaow.sys

---- System - GMER 1.0.15 ----

SSDT spgn.sys ZwCreateKey [0xF73CF0E0]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwCreateProcess [0xF71C0C44]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwCreateProcessEx [0xF71C0C5E]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwCreateThread [0xF71BFE02]
SSDT spgn.sys ZwEnumerateKey [0xF73ECCA2]
SSDT spgn.sys ZwEnumerateValueKey [0xF73ED030]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwLoadDriver [0xF71C012A]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwMapViewOfSection [0xF71BFB4E]
SSDT spgn.sys ZwOpenKey [0xF73CF0C0]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwOpenSection [0xF71C055C]
SSDT spgn.sys ZwQueryKey [0xF73ED108]
SSDT spgn.sys ZwQueryValueKey [0xF73ECF88]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwRenameKey [0xF71C17FA]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwSetSystemInformation [0xF71C03AC]
SSDT spgn.sys ZwSetValueKey [0xF73ED19A]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwSuspendProcess [0xF71BF9D4]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwSuspendThread [0xF71BFE36]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwSystemDebugControl [0xF71BFFB0]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwTerminateProcess [0xF71BF934]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwTerminateThread [0xF71BFA8A]
SSDT \??\C:\Program Files\AntivirusFirewall\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwWriteVirtualMemory [0xF71BFEFA]

INT 0x62 ? 871D3BF8
INT 0x83 ? 86D1FF00
INT 0xA4 ? 86D1FF00
INT 0xB4 ? 86D1FF00

Code fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation) IoCreateDevice

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2760 80501F98 12 Bytes [D4, F9, 1B, F7, 36, FE, 1B, ...]
? spgn.sys Le fichier spécifié est introuvable. !
.text USBPORT.SYS!DllUnload F6B498AC 5 Bytes JMP 86D1F4E0
.text a71bouip.SYS F650F384 1 Byte [20]
.text a71bouip.SYS F650F384 37 Bytes [20, 00, 00, 68, 00, 00, 00, ...]
.text a71bouip.SYS F650F3AA 24 Bytes [00, 00, 20, 00, 00, E0, 00, ...]
.text a71bouip.SYS F650F3C4 3 Bytes [00, 00, 00]
.text a71bouip.SYS F650F3C9 1 Byte [00]
.text ...
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB8604300, 0x3AE88, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF78E5300, 0x1B7E, 0xE8000020]
init C:\Program Files\Player Metaboli\X4HSX32Ex.Sys entry point in "init" section [0xF78F0D80]
? C:\gaellia\catchme.sys Le chemin d'accès spécifié est introuvable. !
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Internet Explorer\iexplore.exe[676] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 40D856E9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] USER32.dll!SetWindowsHookExW 7E3A820F 5 Bytes JMP 40E59AD5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] USER32.dll!CallNextHookEx 7E3AB3C6 5 Bytes JMP 40E4D189 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 40E5D964 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] USER32.dll!UnhookWindowsHookEx 7E3AD5F3 5 Bytes JMP 40DC48CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 40F543AF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 40F542E1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 40F5434C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 40F541B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 40F54214 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 40F54412 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 40F54276 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 40E5D9C0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[676] ole32.dll!OleLoadFromStream 774E9C85 5 Bytes JMP 40F54717 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[696] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 40D856E9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[696] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 40E5D964 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[696] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 40F543AF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[696] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 40F542E1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[696] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 40F5434C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[696] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 40F541B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[696] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 40F54214 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[696] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 40F54412 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[696] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 40F54276 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73D0046] spgn.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73D0142] spgn.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73D00C4] spgn.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73D07CE] spgn.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73D06A4] spgn.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73DBD7A] spgn.sys
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!KfAcquireSpinLock] 000000AD
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!READ_PORT_UCHAR] 000000D4
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!KeGetCurrentIrql] 000000A2
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!KfRaiseIrql] 000000AF
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!KfLowerIrql] 0000009C
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!HalGetInterruptVector] 000000A4
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!HalTranslateBusAddress] 00000072
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!KeStallExecutionProcessor] 000000C0
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!KfReleaseSpinLock] 000000B7
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 000000FD
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!READ_PORT_USHORT] 00000093
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 00000026
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[HAL.dll!WRITE_PORT_UCHAR] 00000036
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[WMILIB.SYS!WmiSystemControl] 000000F7
IAT \SystemRoot\System32\Drivers\a71bouip.SYS[WMILIB.SYS!WmiCompleteRequest] 000000CC

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Program Files\Internet Explorer\iexplore.exe[676] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [009D1ACB] C:\Program Files\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Fastfat \FatCdrom 871531F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{2A87C283-4829-4F8F-B0F5-F31C48BB6B63} 86C25500
Device \Driver\Tcpip \Device\Ip fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\sptd \Device\2674273340 spgn.sys
Device \Driver\usbuhci \Device\USBPDO-0 86E35500
Device \Driver\usbuhci \Device\USBPDO-1 86E35500
Device \Driver\usbuhci \Device\USBPDO-2 86E35500
Device \Driver\usbuhci \Device\USBPDO-3 86E35500
Device \Driver\usbehci \Device\USBPDO-4 86C4E1F8
Device \Driver\Tcpip \Device\Tcp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Ftdisk \Device\HarddiskVolume1 871D41F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 871D41F8
Device \Driver\Cdrom \Device\CdRom0 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
Device \Driver\Cdrom \Device\CdRom0 86D71500
Device \Driver\Ftdisk \Device\HarddiskVolume3 871D41F8
Device \Driver\Cdrom \Device\CdRom1 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
Device \Driver\Cdrom \Device\CdRom1 86D71500
Device \Driver\atapi \Device\Ide\IdePort0 [F732AB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [F732AB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [F732AB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\PCI_PNP0840 \Device\00000080 spgn.sys
Device \Driver\PCI_PNP0840 \Device\00000080 spgn.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 86C25500
Device \Driver\NetBT \Device\NetbiosSmb 86C25500
Device \Driver\Tcpip \Device\Udp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\RawIp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\usbuhci \Device\USBFDO-0 86E35500
Device \Driver\usbuhci \Device\USBFDO-1 86E35500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86C0D1F8
Device \Driver\Tcpip \Device\IPMULTICAST fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\usbuhci \Device\USBFDO-2 86E35500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86C0D1F8
Device \Driver\usbuhci \Device\USBFDO-3 86E35500
Device \Driver\Ftdisk \Device\FtControl 871D41F8
Device \Driver\usbehci \Device\USBFDO-4 86C4E1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{520F3A45-3FCB-49D5-9DB8-3B3EC7C1284E} 86C25500
Device \Driver\a71bouip \Device\Scsi\a71bouip1Port1Path0Target0Lun0 86DBD500
Device \Driver\a71bouip \Device\Scsi\a71bouip1 86DBD500
Device \FileSystem\Fastfat \Fat 871531F8

AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 86F51500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF6 0x99 0xEF 0x9E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x91 0x3B 0x15 0x6D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xB4 0xDA 0x5C 0x70 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF6 0x99 0xEF 0x9E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x91 0x3B 0x15 0x6D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xB4 0xDA 0x5C 0x70 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF6 0x99 0xEF 0x9E ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x91 0x3B 0x15 0x6D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFA 0x49 0xCE 0x35 ...

---- Files - GMER 1.0.15 ----

File D:\Remote Programs\F.E.A.R.\ch1.ix
File D:\Remote Programs\F.E.A.R.\ch1.dat
File D:\Remote Programs\F.E.A.R.\ch0.ix
File D:\Remote Programs\F.E.A.R.\ch0.dat
File D:\Remote Programs\F.E.A.R.\ch0_1.ix
File D:\Remote Programs\F.E.A.R.\ch0_1.dat
File D:\Remote Programs\F.E.A.R.\ch0_2.ix
File D:\Remote Programs\F.E.A.R.\ch0_2.dat
File D:\Remote Programs\F.E.A.R.\ch0_3.ix
File D:\Remote Programs\F.E.A.R.\ch0_3.dat
File D:\Remote Programs\F.E.A.R.\00000000.VIX
File D:\Remote Programs\F.E.A.R.\Content.wav
File D:\Remote Programs\F.E.A.R.\Preload.dat

---- EOF - GMER 1.0.15 ----

J'arrive pas a l'héberger, mauvais type de fichier ???
C'est ok ?

Réponse 31 / 50

supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention

Re- !

oui, c'est OK.

Au fait, pour ta quarantaine de ton antivirus, ne touche à rien. Ne supprime surtout pas les points de restauration système
(sinon, en cas de problème sérieux, un formatage s'imposerait, et ce n'est pas le meilleur moyen...)

je te dis la suite dans la journée ;-)

Réponse 32 / 50

supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention

Salut

alors :
• Télécharge load_tdsskiller http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe (de Loup Blanc) sur ton Bureau
• Lance load_tdsskiller
• L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
• A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)

++

Réponse 33 / 50

gaellia Messages postés 30 Date d'inscription Statut Membre Dernière intervention 2

19:55:25:218 2984 TDSS rootkit removing tool 2.2.7.1 Feb 27 2010 13:29:25
19:55:25:218 2984 ================================================================================
19:55:25:218 2984 SystemInfo:

19:55:25:218 2984 OS Version: 5.1.2600 ServicePack: 3.0
19:55:25:218 2984 Product type: Workstation
19:55:25:218 2984 ComputerName: ACER-CAB9EEA47C
19:55:25:218 2984 UserName: user
19:55:25:218 2984 Windows directory: C:\WINDOWS
19:55:25:218 2984 Processor architecture: Intel x86
19:55:25:218 2984 Number of processors: 1
19:55:25:218 2984 Page size: 0x1000
19:55:25:218 2984 Boot type: Normal boot
19:55:25:218 2984 ================================================================================
19:55:25:218 2984 UnloadDriverW: NtUnloadDriver error 2
19:55:25:218 2984 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
19:55:25:281 2984 Initialize success
19:55:25:281 2984
19:55:25:281 2984 Scanning Services ...
19:55:25:281 2984 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
19:55:25:281 2984 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
19:55:25:281 2984 wfopen_ex: Trying to KLMD file open
19:55:25:281 2984 wfopen_ex: File opened ok (Flags 2)
19:55:25:281 2984 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
19:55:25:281 2984 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
19:55:25:281 2984 wfopen_ex: Trying to KLMD file open
19:55:25:281 2984 wfopen_ex: File opened ok (Flags 2)
19:55:25:718 2984 GetAdvancedServicesInfo: Raw services enum returned 370 services
19:55:25:718 2984 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
19:55:25:718 2984 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
19:55:25:718 2984
19:55:25:718 2984 Scanning Kernel memory ...
19:55:25:718 2984 Devices to scan: 4
19:55:25:718 2984
19:55:25:718 2984 Driver Name: Disk
19:55:25:718 2984 IRP_MJ_CREATE : F7693BB0
19:55:25:718 2984 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
19:55:25:718 2984 IRP_MJ_CLOSE : F7693BB0
19:55:25:718 2984 IRP_MJ_READ : F768DD1F
19:55:25:718 2984 IRP_MJ_WRITE : F768DD1F
19:55:25:718 2984 IRP_MJ_QUERY_INFORMATION : 804F355A
19:55:25:718 2984 IRP_MJ_SET_INFORMATION : 804F355A
19:55:25:718 2984 IRP_MJ_QUERY_EA : 804F355A
19:55:25:718 2984 IRP_MJ_SET_EA : 804F355A
19:55:25:718 2984 IRP_MJ_FLUSH_BUFFERS : F768E2E2
19:55:25:718 2984 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
19:55:25:718 2984 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
19:55:25:718 2984 IRP_MJ_DIRECTORY_CONTROL : 804F355A
19:55:25:718 2984 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
19:55:25:718 2984 IRP_MJ_DEVICE_CONTROL : F768E3BB
19:55:25:718 2984 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7691F28
19:55:25:718 2984 IRP_MJ_SHUTDOWN : F768E2E2
19:55:25:718 2984 IRP_MJ_LOCK_CONTROL : 804F355A
19:55:25:718 2984 IRP_MJ_CLEANUP : 804F355A
19:55:25:718 2984 IRP_MJ_CREATE_MAILSLOT : 804F355A
19:55:25:718 2984 IRP_MJ_QUERY_SECURITY : 804F355A
19:55:25:718 2984 IRP_MJ_SET_SECURITY : 804F355A
19:55:25:718 2984 IRP_MJ_POWER : F768FC82
19:55:25:718 2984 IRP_MJ_SYSTEM_CONTROL : F769499E
19:55:25:718 2984 IRP_MJ_DEVICE_CHANGE : 804F355A
19:55:25:718 2984 IRP_MJ_QUERY_QUOTA : 804F355A
19:55:25:718 2984 IRP_MJ_SET_QUOTA : 804F355A
19:55:25:718 2984 TDL3_StartIoLastChanceHookDetect: Unable to dump StartIo handler code
19:55:25:718 2984 sion
19:55:25:750 2984 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
19:55:25:750 2984
19:55:25:750 2984 Driver Name: Disk
19:55:25:750 2984 IRP_MJ_CREATE : F7693BB0
19:55:25:750 2984 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
19:55:25:750 2984 IRP_MJ_CLOSE : F7693BB0
19:55:25:750 2984 IRP_MJ_READ : F768DD1F
19:55:25:750 2984 IRP_MJ_WRITE : F768DD1F
19:55:25:750 2984 IRP_MJ_QUERY_INFORMATION : 804F355A
19:55:25:750 2984 IRP_MJ_SET_INFORMATION : 804F355A
19:55:25:750 2984 IRP_MJ_QUERY_EA : 804F355A
19:55:25:750 2984 IRP_MJ_SET_EA : 804F355A
19:55:25:750 2984 IRP_MJ_FLUSH_BUFFERS : F768E2E2
19:55:25:750 2984 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
19:55:25:750 2984 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
19:55:25:750 2984 IRP_MJ_DIRECTORY_CONTROL : 804F355A
19:55:25:750 2984 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
19:55:25:750 2984 IRP_MJ_DEVICE_CONTROL : F768E3BB
19:55:25:750 2984 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7691F28
19:55:25:750 2984 IRP_MJ_SHUTDOWN : F768E2E2
19:55:25:750 2984 IRP_MJ_LOCK_CONTROL : 804F355A
19:55:25:750 2984 IRP_MJ_CLEANUP : 804F355A
19:55:25:750 2984 IRP_MJ_CREATE_MAILSLOT : 804F355A
19:55:25:750 2984 IRP_MJ_QUERY_SECURITY : 804F355A
19:55:25:750 2984 IRP_MJ_SET_SECURITY : 804F355A
19:55:25:750 2984 IRP_MJ_POWER : F768FC82
19:55:25:750 2984 IRP_MJ_SYSTEM_CONTROL : F769499E
19:55:25:750 2984 IRP_MJ_DEVICE_CHANGE : 804F355A
19:55:25:750 2984 IRP_MJ_QUERY_QUOTA : 804F355A
19:55:25:750 2984 IRP_MJ_SET_QUOTA : 804F355A
19:55:25:750 2984 TDL3_StartIoLastChanceHookDetect: Unable to dump StartIo handler code
19:55:25:750 2984 sion
19:55:25:750 2984 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
19:55:25:750 2984
19:55:25:750 2984 Driver Name: Disk
19:55:25:750 2984 IRP_MJ_CREATE : F7693BB0
19:55:25:750 2984 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
19:55:25:750 2984 IRP_MJ_CLOSE : F7693BB0
19:55:25:750 2984 IRP_MJ_READ : F768DD1F
19:55:25:750 2984 IRP_MJ_WRITE : F768DD1F
19:55:25:750 2984 IRP_MJ_QUERY_INFORMATION : 804F355A
19:55:25:750 2984 IRP_MJ_SET_INFORMATION : 804F355A
19:55:25:750 2984 IRP_MJ_QUERY_EA : 804F355A
19:55:25:750 2984 IRP_MJ_SET_EA : 804F355A
19:55:25:750 2984 IRP_MJ_FLUSH_BUFFERS : F768E2E2
19:55:25:750 2984 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
19:55:25:750 2984 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
19:55:25:750 2984 IRP_MJ_DIRECTORY_CONTROL : 804F355A
19:55:25:750 2984 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
19:55:25:750 2984 IRP_MJ_DEVICE_CONTROL : F768E3BB
19:55:25:750 2984 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7691F28
19:55:25:750 2984 IRP_MJ_SHUTDOWN : F768E2E2
19:55:25:750 2984 IRP_MJ_LOCK_CONTROL : 804F355A
19:55:25:750 2984 IRP_MJ_CLEANUP : 804F355A
19:55:25:750 2984 IRP_MJ_CREATE_MAILSLOT : 804F355A
19:55:25:750 2984 IRP_MJ_QUERY_SECURITY : 804F355A
19:55:25:750 2984 IRP_MJ_SET_SECURITY : 804F355A
19:55:25:750 2984 IRP_MJ_POWER : F768FC82
19:55:25:750 2984 IRP_MJ_SYSTEM_CONTROL : F769499E
19:55:25:750 2984 IRP_MJ_DEVICE_CHANGE : 804F355A
19:55:25:750 2984 IRP_MJ_QUERY_QUOTA : 804F355A
19:55:25:750 2984 IRP_MJ_SET_QUOTA : 804F355A
19:55:25:750 2984 TDL3_StartIoLastChanceHookDetect: Unable to dump StartIo handler code
19:55:25:750 2984 sion
19:55:25:750 2984 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
19:55:25:750 2984
19:55:25:750 2984 Driver Name: atapi
19:55:25:750 2984 IRP_MJ_CREATE : F732AB40
19:55:25:750 2984 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
19:55:25:750 2984 IRP_MJ_CLOSE : F732AB40
19:55:25:750 2984 IRP_MJ_READ : 804F355A
19:55:25:750 2984 IRP_MJ_WRITE : 804F355A
19:55:25:750 2984 IRP_MJ_QUERY_INFORMATION : 804F355A
19:55:25:750 2984 IRP_MJ_SET_INFORMATION : 804F355A
19:55:25:750 2984 IRP_MJ_QUERY_EA : 804F355A
19:55:25:750 2984 IRP_MJ_SET_EA : 804F355A
19:55:25:750 2984 IRP_MJ_FLUSH_BUFFERS : 804F355A
19:55:25:750 2984 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
19:55:25:750 2984 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
19:55:25:750 2984 IRP_MJ_DIRECTORY_CONTROL : 804F355A
19:55:25:750 2984 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
19:55:25:750 2984 IRP_MJ_DEVICE_CONTROL : F732AB40
19:55:25:750 2984 IRP_MJ_INTERNAL_DEVICE_CONTROL : F732AB40
19:55:25:750 2984 IRP_MJ_SHUTDOWN : 804F355A
19:55:25:750 2984 IRP_MJ_LOCK_CONTROL : 804F355A
19:55:25:750 2984 IRP_MJ_CLEANUP : 804F355A
19:55:25:750 2984 IRP_MJ_CREATE_MAILSLOT : 804F355A
19:55:25:750 2984 IRP_MJ_QUERY_SECURITY : 804F355A
19:55:25:750 2984 IRP_MJ_SET_SECURITY : 804F355A
19:55:25:750 2984 IRP_MJ_POWER : F732AB40
19:55:25:750 2984 IRP_MJ_SYSTEM_CONTROL : F732AB40
19:55:25:750 2984 IRP_MJ_DEVICE_CHANGE : 804F355A
19:55:25:750 2984 IRP_MJ_QUERY_QUOTA : 804F355A
19:55:25:750 2984 IRP_MJ_SET_QUOTA : 804F355A
19:55:25:765 2984 siohd: 0
19:55:25:781 2984 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: Clean
19:55:25:781 2984
19:55:25:781 2984 Completed
19:55:25:781 2984
19:55:25:781 2984 Results:
19:55:25:781 2984 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
19:55:25:781 2984 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
19:55:25:781 2984 File objects infected / cured / cured on reboot: 0 / 0 / 0
19:55:25:796 2984
19:55:25:796 2984 KLMD(ARK) unloaded successfully

Pétard à la fin j'aurai téléchargé je sais pas combien de programmes !!! J 'espère que tu me diras tout ce que je peux supprimer parce que dans c:/ y'a plein de choses maintenant... :-)

Sinon on a presque fini tu crois ?

Réponse 34 / 50

supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention

Salut !

Pétard à la fin j'aurai téléchargé je sais pas combien de programmes !!! J 'espère que tu me diras tout ce que je peux supprimer parce que dans c:/ y'a plein de choses maintenant... :-)

t'inquiète pas, je ne vais pas te laisser en plan ;-)
On fera même un peu d'optimisation à la fin.

Sinon on a presque fini tu crois ?
Il y a encore 2/3 trucs à faire ;-)

je te dis la suite bientôt ( demain soir au plus tard, !! désolé du délai !! )

Réponse 35 / 50

supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention

Salut !

alors, :

Tout d'abord :
• Télécharge SEAF (de C_XX)
• Dans les options, règle "Calculer le checksum" sur "MD5", puis coche "Informations supplémentaires"
• Tape atapi.sys dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
• A la fin, poste le rapport dans ta prochaine réponse

Ensuite :

* Télécharge Malwarebytes =>https://www.androidworld.fr/
* Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
* Lance une analyse complète en cliquant sur "Exécuter un examen complet"
* Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
* L'analyse peut durer un bon moment.....
* Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
* Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
* Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

++

Réponse 36 / 50

gaellia Messages postés 30 Date d'inscription Statut Membre Dernière intervention 2

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 10:03:29 le 09/03/2010
4.
5. Valeur(s) recherchée(s):
6.
7. atapi.sys
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Informations supplémentaires
11.
12. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
13.
14. "c:\WINDOWS\ERDNT\cache\atapi.sys" [ ----A---- | 96512 ]
15. TC: 06/03/2010,14:52:56 | TM: 13/04/2008,20:40:30 | DA: 07/03/2010,00:00:00
16. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
17.
18.
19. CompagnyName: Microsoft Corporation
20. ProductName: Microsoft® Windows® Operating System
21. InternalName: atapi.sys
22. OriginalFilename: atapi.sys
23. LegalCopyright: © Microsoft Corporation. All rights reserved.
24. ProductVersion: 5.1.2600.5512
25. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
26.
27. =========================
28.
29. "c:\WINDOWS\ServicePackFiles\i386\atapi.sys" [ ----N---- | 96512 ]
30. TC: 13/04/2008,20:40:30 | TM: 13/04/2008,20:40:30 | DA: 05/03/2010,00:00:00
31. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
32.
33.
34. CompagnyName: Microsoft Corporation
35. ProductName: Microsoft® Windows® Operating System
36. InternalName: atapi.sys
37. OriginalFilename: atapi.sys
38. LegalCopyright: © Microsoft Corporation. All rights reserved.
39. ProductVersion: 5.1.2600.5512
40. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
41.
42. =========================
43.
44. "c:\WINDOWS\$NtServicePackUninstall$\atapi.sys" [ ----N---- | 95360 ]
45. TC: 30/08/2008,10:40:14 | TM: 05/08/2004,05:00:00 | DA: 05/03/2010,00:00:00
46. MD5: cdfe4411a69c224bd1d11b2da92dac51
47.
48.
49. CompagnyName: Microsoft Corporation
50. ProductName: Microsoft® Windows® Operating System
51. InternalName: atapi.sys
52. OriginalFilename: atapi.sys
53. LegalCopyright: © Microsoft Corporation. All rights reserved.
54. ProductVersion: 5.1.2600.2180
55. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
56.
57. =========================
58.
59. "c:\WINDOWS\system32\ReinstallBackups\0013\DriverFiles\i386\atapi.sys" [ ----A---- | 95360 ]
60. TC: 03/08/2004,22:59:44 | TM: 03/08/2004,22:59:44 | DA: 05/03/2010,00:00:00
61. MD5: cdfe4411a69c224bd1d11b2da92dac51
62.
63.
64. CompagnyName: Microsoft Corporation
65. ProductName: Microsoft® Windows® Operating System
66. InternalName: atapi.sys
67. OriginalFilename: atapi.sys
68. LegalCopyright: © Microsoft Corporation. All rights reserved.
69. ProductVersion: 5.1.2600.2180
70. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
71.
72. =========================
73.
74. "c:\WINDOWS\system32\drivers\atapi.sys" [ ----N---- | 96512 ]
75. TC: 05/08/2004,05:00:00 | TM: 13/04/2008,20:40:30 | DA: 08/03/2010,00:00:00
76. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
77.
78.
79. CompagnyName: Microsoft Corporation
80. ProductName: Microsoft® Windows® Operating System
81. InternalName: atapi.sys
82. OriginalFilename: atapi.sys
83. LegalCopyright: © Microsoft Corporation. All rights reserved.
84. ProductVersion: 5.1.2600.5512
85. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
86.
87. =========================
88.
89. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
90.
91. Aucun dossier trouvé
92.
93. =========================
94.
95. Fin à: 10:05:17 le 09/03/2010 ( E.O.F )

Je refais malwarebytes et je te poste le rapport...

Réponse 37 / 50

gaellia Messages postés 30 Date d'inscription Statut Membre Dernière intervention 2

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3839
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/03/2010 11:09:58
mbam-log-2010-03-09 (11-09-58).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 224230
Temps écoulé: 56 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Réponse 38 / 50

supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention

ok, je te dis la suite demain aprem, et ce sera fini demain soir ;-)

++

Réponse 39 / 50

supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention

Salut !

donc, pour voir ce que l'on peut enlever au démarrage, quels logiciels ne sont pas à jour, plus d'autres conseils, fais moi un dernier rapport RSIT stp ( tu n'auras qu'un rapport à l'écran, c'est normal.)

Réponse 40 / 50

gaellia Messages postés 30 Date d'inscription Statut Membre Dernière intervention 2

Logfile of random's system information tool 1.06 (written by random/random)
Run by user at 2010-03-10 16:06:33
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 4 GB (8%) free of 46 GB
Total RAM: 1022 MB (30% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:06:58, on 10/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\WINDOWS\system32\lxctcoms.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsus.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\user\Bureau\RSIT.exe
C:\Program Files\HijackThis\user.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [LXCTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} (UploadListView Class) - http://picasaweb.google.com/s/v/59.20/uploader2.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\ORSP Client\fsorsp.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe (file missing)

Votre réponse