Infection? antimalware doctor
Résolu/Fermé
alèdoscour
Messages postés
25
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
14 avril 2010
-
12 avril 2010 à 09:12
Utilisateur anonyme - 14 avril 2010 à 21:05
Utilisateur anonyme - 14 avril 2010 à 21:05
A voir également:
- Infection? antimalware doctor
- Pc doctor - Télécharger - Optimisation
- Disk doctor - Télécharger - Récupération de données
- Car doctor - Télécharger - Vie quotidienne
- Antimalware - Télécharger - Antivirus & Antimalwares
- Spyware doctor - Télécharger - Antivirus & Antimalwares
66 réponses
Utilisateur anonyme
12 avril 2010 à 09:44
12 avril 2010 à 09:44
bonjour oui c est possible
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
▶ Télécharge List_Kill'em et enregistre le sur ton bureau
double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection.
▶ laisse travailler l'outil
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan
▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
▶ Télécharge List_Kill'em et enregistre le sur ton bureau
double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection.
▶ laisse travailler l'outil
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan
▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
alèdoscour
Messages postés
25
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
14 avril 2010
12 avril 2010 à 09:47
12 avril 2010 à 09:47
merci pour l'aide.
Je fais tout ca maintenant.
Je fais tout ca maintenant.
alèdoscour
Messages postés
25
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
14 avril 2010
12 avril 2010 à 11:09
12 avril 2010 à 11:09
Je suis resté en mode sans echec sur mon portable. J'ai réussi à desactiver le fire-wall mais pas l'antivirus (semantec antivirus) ; est-ce un problème?
Dans la fenêtre du scan apparaissent les lignes suivantes :
HKLM\Software\Mozilla\Firefox\Extensions : {E889F097-B0BE-471B-89AD-B86B6F04B506}
was unexpected at this time.
C:\Program Files\List_Kill'em
Que dois-je faire?
Dans la fenêtre du scan apparaissent les lignes suivantes :
HKLM\Software\Mozilla\Firefox\Extensions : {E889F097-B0BE-471B-89AD-B86B6F04B506}
was unexpected at this time.
C:\Program Files\List_Kill'em
Que dois-je faire?
Utilisateur anonyme
12 avril 2010 à 11:39
12 avril 2010 à 11:39
▶ Télécharge : Gmer (by Przemyslaw Gmerek)
▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
Ensuite
▶ sur les lignes rouge:
▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
Ensuite
▶ sur les lignes rouge:
▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
alèdoscour
Messages postés
25
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
14 avril 2010
12 avril 2010 à 12:19
12 avril 2010 à 12:19
J'ai telechargé gmer puis passé sur le portable. Quand je l'ai ouvert je n'ai pas eu besoin de le déziper. Je n'ai pas de lignes rouges. Voila le rapport.
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-12 12:09:51
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Amo\LOCALS~1\Temp\pxloapoc.sys
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device -> \Driver\atapi \Device\Harddisk0\DR0 86930AC8
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-12 12:09:51
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Amo\LOCALS~1\Temp\pxloapoc.sys
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device -> \Driver\atapi \Device\Harddisk0\DR0 86930AC8
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Utilisateur anonyme
12 avril 2010 à 12:22
12 avril 2010 à 12:22
/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\
________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
>> Reviens sur le forum, et
▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
alèdoscour
Messages postés
25
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
14 avril 2010
12 avril 2010 à 12:27
12 avril 2010 à 12:27
Avant de commencer j'ai plusieurs questions :
Je ne suis pas sur d'avoir bien desactivé mon antivirus mais est-ce un problème en mode sans echec?
Dois-je fermer List'em?
Je ne suis pas sur d'avoir bien desactivé mon antivirus mais est-ce un problème en mode sans echec?
Dois-je fermer List'em?
Utilisateur anonyme
12 avril 2010 à 12:28
12 avril 2010 à 12:28
oui tu peux fermer list'em
l antivirus n'est pas actif en mode sans echec
l antivirus n'est pas actif en mode sans echec
alèdoscour
Messages postés
25
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
14 avril 2010
12 avril 2010 à 12:30
12 avril 2010 à 12:30
OK. Je fais les manip prescrites.
alèdoscour
Messages postés
25
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
14 avril 2010
12 avril 2010 à 12:47
12 avril 2010 à 12:47
Désolé mais j'étais en mode sans echec avec navigation. Quand je lance Combofix une fenetre s'ouvre pour dire que symantec antivirus est toujours ouvert. Quand j'ouvre l'antivirus et que je vais dans files, la ligne unload service est inaccessible. J'ai cru l'avoir désactivé autrement mais lorsque j'ai relancé combofix il m'annonce que l'antivirus est toujours actif et que l'utilisation de combofix est à mes propres riques. Que faire?
alèdoscour
Messages postés
25
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
14 avril 2010
12 avril 2010 à 12:57
12 avril 2010 à 12:57
ok.
alèdoscour
Messages postés
25
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
14 avril 2010
12 avril 2010 à 13:00
12 avril 2010 à 13:00
Je n'ai pas de connection internet valide sur mon portable, peut-être parce que je l'utilise d'habitude en mode wifi. Dois-je passer outre là aussi?
Utilisateur anonyme
12 avril 2010 à 13:20
12 avril 2010 à 13:20
il n'est pas possible de lui mettre un cable juste le temps de...?
alèdoscour
Messages postés
25
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
14 avril 2010
12 avril 2010 à 13:23
12 avril 2010 à 13:23
Je vais essayer de brancher ma live box en direct sur le portable. Penses-tu qu'il me faille configurer cette connexion? Puis-je rester en mode sans echec (with networking) sans rien toucher à combofix?
Utilisateur anonyme
Modifié par gen-hackman le 12/04/2010 à 13:31
Modifié par gen-hackman le 12/04/2010 à 13:31
non je pense qu'elle se fera directement
Puis-je rester en mode sans echec (with networking) sans rien toucher à combofix?
oui sauf pour confirmer pour l'installation de la console de recuperation
?G3?-?@¢??@?(TM)©®?
Puis-je rester en mode sans echec (with networking) sans rien toucher à combofix?
oui sauf pour confirmer pour l'installation de la console de recuperation
?G3?-?@¢??@?(TM)©®?
alèdoscour
Messages postés
25
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
14 avril 2010
12 avril 2010 à 14:14
12 avril 2010 à 14:14
J'ai pu brancher ma live box sur mon portable. Il s'est éteint puis rallumé en mode normal. Dois-je desactiver ma connexion wifi sachant que je n'ai pas réactiver le firewall. Je n'avais pas réussi à desactver l'antivirus. Pour l'instant je suis de nouveau sur mon pc.
Voila le rapport combofix:
ComboFix 10-04-11.03 - Amo 04/12/2010 13:35:19.1.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1015.738 [GMT 2:00]
Running from: c:\documents and settings\Amo\Desktop\ComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe.delme189
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe.delme188
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe.delme187
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe.delme186
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700.exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\enemies-names.txt
c:\documents and settings\Amo\Application Data\avdrn.dat
c:\documents and settings\Amo\Application Data\wiaservg.log
c:\documents and settings\Amo\Start Menu\Programs\Startup\ihaupd32.exe
c:\documents and settings\Amo\Start Menu\Programs\Startup\wwwmen32.exe
c:\program files\Adobe\acrotray .exe
c:\program files\Internet Explorer\js.mui
c:\program files\Internet Explorer\wmpscfgs.exe
c:\windows\eSellerateEngine.dll
c:\windows\system32\app_dll.dll
c:\windows\system32\cooper.mine
c:\windows\system32\ctfmon .exe
c:\windows\system32\drivers\fad.sys
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\pkabdmdn.dll
c:\windows\system32\rxyspdzpes
c:\windows\system32\sshnas21.dll
c:\windows\system32\tdsslog.dll
c:\windows\system32\tdssmain.dll
c:\windows\system32\tdssserf.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
-------\Service_SSHNAS
((((((((((((((((((((((((( Files Created from 2010-03-12 to 2010-04-12 )))))))))))))))))))))))))))))))
.
2010-04-12 07:55 . 2010-04-12 07:55 -------- d-----w- C:\Kill'em
2010-04-12 07:54 . 2010-04-12 08:29 -------- d-----w- c:\program files\List_Kill'em
2010-04-07 05:04 . 2010-04-07 05:04 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE
2010-04-07 05:04 . 2010-04-07 05:04 -------- d-sh--w- c:\documents and settings\LocalService\IECompatCache
2010-04-06 19:05 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-04-06 19:05 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-06 19:04 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\Changer.sys
2010-04-06 19:04 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-04-06 19:03 . 2010-04-06 19:03 174592 ----a-w- c:\windows\Afonia.exe
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-12 11:49 . 2007-02-02 19:14 -------- d-----w- c:\program files\Symantec AntiVirus
2010-04-12 11:48 . 2007-06-06 11:42 -------- d-----w- c:\program files\QuickTime
2010-04-12 11:47 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\igfxpers.exe
2010-04-12 11:47 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\hkcmd.exe
2010-04-12 11:47 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\igfxtray.exe
2010-04-12 11:47 . 2006-04-28 02:11 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-04-12 11:47 . 2006-12-14 07:31 -------- d-----w- c:\program files\Windows Defender
2010-04-11 12:14 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\igfxpers .exe
2010-04-11 12:14 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\hkcmd .exe
2010-04-11 12:14 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\igfxtray .exe
2010-04-08 14:48 . 2006-04-21 22:53 -------- d-----w- c:\program files\Apoint
2010-04-08 14:16 . 2007-02-02 19:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-06 19:44 . 2010-04-06 19:44 8 ----a-w- c:\documents and settings\NetworkService\Application Data\ypgmjw.dat
2010-04-06 19:03 . 2010-04-06 19:03 8 ----a-w- c:\windows\system32\config\systemprofile\Application Data\ypgmjw.dat
2010-04-06 19:03 . 2010-04-06 19:03 90112 ----a-w- c:\windows\system32\9F.tmp
2010-04-06 19:03 . 2010-04-06 19:03 28814 ----a-w- c:\windows\system32\99.tmp
2010-04-06 19:03 . 2010-04-06 19:03 84 ----a-w- c:\windows\system32\96.tmp
2010-04-03 22:31 . 2006-04-27 14:22 -------- d-----w- c:\program files\Google
2010-03-07 18:40 . 2010-03-07 18:40 0 ----a-w- c:\windows\nsreg.dat
2010-02-25 06:24 . 2004-08-11 22:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 09:16 . 2009-10-04 17:00 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
2010-02-12 10:03 . 2010-03-01 07:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-01-26 13:24 . 2010-01-26 13:24 126 ----a-w- c:\documents and settings\Amo\Local Settings\Application Data\fusioncache.dat
2010-01-17 21:36 . 2010-01-17 21:32 77152 ----a-w- c:\documents and settings\Amo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
.
[code]<pre>
c:\program files\Adobe\Reader 8.0\Reader\reader_sl .exe
c:\program files\Apoint\apoint .exe
c:\program files\Common Files\Symantec Shared\ccapp .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Intel\Wireless\Bin\ifrmewrk .exe
c:\program files\Intel\Wireless\Bin\zcfgsvc .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Symantec AntiVirus\vptray .exe
c:\program files\Windows Defender\msascui .exe
c:\program files\Windows Media Player\wmpnscfg .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\dla\tfswctrl .exe
</pre>/code
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2010-04-12 37376]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\quicktime\qttask .exe -atboottime" [X]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2010-04-08 37376]
"Dell QuickSet"="c:\program files\dell\quickset\quickset .exe .exe .exe .exe .exe .exe .exe .exe .exe" [N/A]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2010-04-12 37376]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2010-04-12 37376]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2010-04-12 37376]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2010-04-12 37376]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2010-04-12 37376]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2010-04-12 37376]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2010-04-12 37376]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2010-04-12 37376]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-12 37376]
"vptray"="c:\progra~1\SYMANT~1\\vptray.exe" [2010-04-12 37376]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"RunNarrator"="Narrator.exe" [2008-04-14 53760]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-4-22 24576]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupXu.exe"=
"c:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [11/3/2006 7:19 PM 13592]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\eengine\EraserUtilRebootDrv.sys [8/27/2009 7:01 PM 102448]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [4/22/2006 12:53 AM 87936]
S0 1742699994;1742699994;c:\windows\system32\drivers\1742699994.sys --> c:\windows\system32\drivers\1742699994.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2/4/2010 12:01 PM 135664]
S3 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [12/20/2006 8:29 PM 116928]
--- Other Services/Drivers In Memory ---
*NewlyCreated* - BASFND
.
Contents of the 'Scheduled Tasks' folder
2010-04-12 c:\windows\Tasks\At1.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At10.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At11.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At12.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At13.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At14.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At15.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At16.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At17.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At18.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At19.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At2.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At20.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At21.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At22.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At23.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At24.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At3.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At4.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At5.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At6.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At7.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At8.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At9.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 10:00]
2010-04-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 10:00]
2010-04-12 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
2010-04-12 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://wwworange.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
DPF: {01010200-5E80-11D8-9E86-0007E96C65AE} - hxxp://supportcenter.rr.com/sdccommon/download/tgctlins.cab
FF - ProfilePath - c:\documents and settings\Amo\Application Data\Mozilla\Firefox\Profiles\11q42en7.default\
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHANS REMOVED - - - -
AddRemove-HijackThis - c:\downloads\HijackThis.exe
AddRemove-Migo - c:\documents and settings\Seba & Shaily\Application Data\Powerhouse\Migo\MigoUninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-12 13:46
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
c:\windows\TEMP\TMP00000016FDDC970B82FEBB95 524288 bytes executable
c:\windows\system32\igfxtray .exe 37376 bytes executable
c:\windows\system32\igfxpers .exe 37376 bytes executable
c:\windows\system32\hkcmd .exe 37376 bytes executable
scan completed successfully
hidden files: 4
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8654BAC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75c6f28
\Driver\ACPI -> ACPI.sys @ 0xf7459cb8
\Driver\atapi -> atapi.sys @ 0xf73cd852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf72b1bb0
PacketIndicateHandler -> NDIS.sys @ 0xf72a0a0d
SendHandler -> NDIS.sys @ 0xf72b4b40
user & kernel MBR OK
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(896)
c:\windows\system32\WININET.dll
- - - - - - - > 'lsass.exe'(956)
c:\windows\system32\WININET.dll
- - - - - - - > 'explorer.exe'(4596)
c:\windows\system32\WININET.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Intel\Wireless\Bin\WLKeeper.exe
c:\program files\Common Files\Symantec Shared\ccEvtMgr.exe
c:\program files\Common Files\Symantec Shared\ccSetMgr.exe
c:\program files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\windows\System32\SCardSvr.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\basfipm.exe
c:\windows\system32\crypserv.exe
c:\program files\Symantec AntiVirus\DefWatch.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Dell\QuickSet\NICCONFIGSVC.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Symantec AntiVirus\Rtvscan.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\program files\apoint\apoint .exe
c:\windows\system32\dla\tfswctrl .exe
c:\program files\common files\symantec shared\ccapp .exe
c:\program files\Apoint\HidFind.exe
c:\program files\windows defender\msascui .exe
c:\program files\Apoint\Apntex.exe
c:\program files\intel\wireless\bin\zcfgsvc .exe
c:\program files\intel\wireless\bin\ifrmewrk .exe
c:\program files\quicktime\qttask .exe
c:\program files\windows media player\wmpnscfg .exe
c:\progra~1\symant~1\vptray .exe
c:\windows\system32\wscntfy.exe
c:\program files\Intel\Wireless\Bin\Dot1XCfg.exe
c:\program files\dell\quickset\quickset .exe
.
**************************************************************************
.
Completion time: 2010-04-12 14:01:08 - machine was rebooted
ComboFix-quarantined-files.txt 2010-04-12 12:00
Pre-Run: 69,170,589,696 bytes free
Post-Run: 67,937,665,024 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 2CCDB658170541D57E2A17365424C5E5
Voila le rapport combofix:
ComboFix 10-04-11.03 - Amo 04/12/2010 13:35:19.1.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1015.738 [GMT 2:00]
Running from: c:\documents and settings\Amo\Desktop\ComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe.delme189
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe.delme188
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe.delme187
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe.delme186
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700 .exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\dbf70700.exe
c:\documents and settings\Amo\Application Data\3714D4468FE48242322EF6CBE954A0E3\enemies-names.txt
c:\documents and settings\Amo\Application Data\avdrn.dat
c:\documents and settings\Amo\Application Data\wiaservg.log
c:\documents and settings\Amo\Start Menu\Programs\Startup\ihaupd32.exe
c:\documents and settings\Amo\Start Menu\Programs\Startup\wwwmen32.exe
c:\program files\Adobe\acrotray .exe
c:\program files\Internet Explorer\js.mui
c:\program files\Internet Explorer\wmpscfgs.exe
c:\windows\eSellerateEngine.dll
c:\windows\system32\app_dll.dll
c:\windows\system32\cooper.mine
c:\windows\system32\ctfmon .exe
c:\windows\system32\drivers\fad.sys
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\pkabdmdn.dll
c:\windows\system32\rxyspdzpes
c:\windows\system32\sshnas21.dll
c:\windows\system32\tdsslog.dll
c:\windows\system32\tdssmain.dll
c:\windows\system32\tdssserf.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
-------\Service_SSHNAS
((((((((((((((((((((((((( Files Created from 2010-03-12 to 2010-04-12 )))))))))))))))))))))))))))))))
.
2010-04-12 07:55 . 2010-04-12 07:55 -------- d-----w- C:\Kill'em
2010-04-12 07:54 . 2010-04-12 08:29 -------- d-----w- c:\program files\List_Kill'em
2010-04-07 05:04 . 2010-04-07 05:04 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE
2010-04-07 05:04 . 2010-04-07 05:04 -------- d-sh--w- c:\documents and settings\LocalService\IECompatCache
2010-04-06 19:05 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-04-06 19:05 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-06 19:04 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\Changer.sys
2010-04-06 19:04 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-04-06 19:03 . 2010-04-06 19:03 174592 ----a-w- c:\windows\Afonia.exe
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-12 11:49 . 2007-02-02 19:14 -------- d-----w- c:\program files\Symantec AntiVirus
2010-04-12 11:48 . 2007-06-06 11:42 -------- d-----w- c:\program files\QuickTime
2010-04-12 11:47 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\igfxpers.exe
2010-04-12 11:47 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\hkcmd.exe
2010-04-12 11:47 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\igfxtray.exe
2010-04-12 11:47 . 2006-04-28 02:11 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-04-12 11:47 . 2006-12-14 07:31 -------- d-----w- c:\program files\Windows Defender
2010-04-11 12:14 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\igfxpers .exe
2010-04-11 12:14 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\hkcmd .exe
2010-04-11 12:14 . 2006-04-21 22:50 37376 ----a-w- c:\windows\system32\igfxtray .exe
2010-04-08 14:48 . 2006-04-21 22:53 -------- d-----w- c:\program files\Apoint
2010-04-08 14:16 . 2007-02-02 19:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-06 19:44 . 2010-04-06 19:44 8 ----a-w- c:\documents and settings\NetworkService\Application Data\ypgmjw.dat
2010-04-06 19:03 . 2010-04-06 19:03 8 ----a-w- c:\windows\system32\config\systemprofile\Application Data\ypgmjw.dat
2010-04-06 19:03 . 2010-04-06 19:03 90112 ----a-w- c:\windows\system32\9F.tmp
2010-04-06 19:03 . 2010-04-06 19:03 28814 ----a-w- c:\windows\system32\99.tmp
2010-04-06 19:03 . 2010-04-06 19:03 84 ----a-w- c:\windows\system32\96.tmp
2010-04-03 22:31 . 2006-04-27 14:22 -------- d-----w- c:\program files\Google
2010-03-07 18:40 . 2010-03-07 18:40 0 ----a-w- c:\windows\nsreg.dat
2010-02-25 06:24 . 2004-08-11 22:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 09:16 . 2009-10-04 17:00 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
2010-02-12 10:03 . 2010-03-01 07:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-01-26 13:24 . 2010-01-26 13:24 126 ----a-w- c:\documents and settings\Amo\Local Settings\Application Data\fusioncache.dat
2010-01-17 21:36 . 2010-01-17 21:32 77152 ----a-w- c:\documents and settings\Amo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
.
[code]<pre>
c:\program files\Adobe\Reader 8.0\Reader\reader_sl .exe
c:\program files\Apoint\apoint .exe
c:\program files\Common Files\Symantec Shared\ccapp .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Dell\QuickSet\quickset .exe
c:\program files\Intel\Wireless\Bin\ifrmewrk .exe
c:\program files\Intel\Wireless\Bin\zcfgsvc .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Symantec AntiVirus\vptray .exe
c:\program files\Windows Defender\msascui .exe
c:\program files\Windows Media Player\wmpnscfg .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\dla\tfswctrl .exe
</pre>/code
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2010-04-12 37376]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"dbf70700 .exe"="c:\documents and settings\amo\application data\3714d4468fe48242322ef6cbe954a0e3\dbf70700 .exe" [N/A]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\quicktime\qttask .exe -atboottime" [X]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2010-04-08 37376]
"Dell QuickSet"="c:\program files\dell\quickset\quickset .exe .exe .exe .exe .exe .exe .exe .exe .exe" [N/A]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2010-04-12 37376]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2010-04-12 37376]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2010-04-12 37376]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2010-04-12 37376]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2010-04-12 37376]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2010-04-12 37376]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2010-04-12 37376]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2010-04-12 37376]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-12 37376]
"vptray"="c:\progra~1\SYMANT~1\\vptray.exe" [2010-04-12 37376]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"RunNarrator"="Narrator.exe" [2008-04-14 53760]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-4-22 24576]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupXu.exe"=
"c:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [11/3/2006 7:19 PM 13592]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\eengine\EraserUtilRebootDrv.sys [8/27/2009 7:01 PM 102448]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [4/22/2006 12:53 AM 87936]
S0 1742699994;1742699994;c:\windows\system32\drivers\1742699994.sys --> c:\windows\system32\drivers\1742699994.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2/4/2010 12:01 PM 135664]
S3 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [12/20/2006 8:29 PM 116928]
--- Other Services/Drivers In Memory ---
*NewlyCreated* - BASFND
.
Contents of the 'Scheduled Tasks' folder
2010-04-12 c:\windows\Tasks\At1.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At10.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At11.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At12.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At13.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At14.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At15.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At16.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At17.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At18.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At19.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At2.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At20.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At21.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At22.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At23.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At24.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At3.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At4.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At5.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At6.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At7.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At8.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\At9.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-12 11:48]
2010-04-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 10:00]
2010-04-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 10:00]
2010-04-12 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
2010-04-12 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://wwworange.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
DPF: {01010200-5E80-11D8-9E86-0007E96C65AE} - hxxp://supportcenter.rr.com/sdccommon/download/tgctlins.cab
FF - ProfilePath - c:\documents and settings\Amo\Application Data\Mozilla\Firefox\Profiles\11q42en7.default\
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHANS REMOVED - - - -
AddRemove-HijackThis - c:\downloads\HijackThis.exe
AddRemove-Migo - c:\documents and settings\Seba & Shaily\Application Data\Powerhouse\Migo\MigoUninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-12 13:46
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
c:\windows\TEMP\TMP00000016FDDC970B82FEBB95 524288 bytes executable
c:\windows\system32\igfxtray .exe 37376 bytes executable
c:\windows\system32\igfxpers .exe 37376 bytes executable
c:\windows\system32\hkcmd .exe 37376 bytes executable
scan completed successfully
hidden files: 4
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8654BAC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75c6f28
\Driver\ACPI -> ACPI.sys @ 0xf7459cb8
\Driver\atapi -> atapi.sys @ 0xf73cd852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf72b1bb0
PacketIndicateHandler -> NDIS.sys @ 0xf72a0a0d
SendHandler -> NDIS.sys @ 0xf72b4b40
user & kernel MBR OK
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(896)
c:\windows\system32\WININET.dll
- - - - - - - > 'lsass.exe'(956)
c:\windows\system32\WININET.dll
- - - - - - - > 'explorer.exe'(4596)
c:\windows\system32\WININET.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Intel\Wireless\Bin\WLKeeper.exe
c:\program files\Common Files\Symantec Shared\ccEvtMgr.exe
c:\program files\Common Files\Symantec Shared\ccSetMgr.exe
c:\program files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\windows\System32\SCardSvr.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\basfipm.exe
c:\windows\system32\crypserv.exe
c:\program files\Symantec AntiVirus\DefWatch.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Dell\QuickSet\NICCONFIGSVC.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Symantec AntiVirus\Rtvscan.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\program files\apoint\apoint .exe
c:\windows\system32\dla\tfswctrl .exe
c:\program files\common files\symantec shared\ccapp .exe
c:\program files\Apoint\HidFind.exe
c:\program files\windows defender\msascui .exe
c:\program files\Apoint\Apntex.exe
c:\program files\intel\wireless\bin\zcfgsvc .exe
c:\program files\intel\wireless\bin\ifrmewrk .exe
c:\program files\quicktime\qttask .exe
c:\program files\windows media player\wmpnscfg .exe
c:\progra~1\symant~1\vptray .exe
c:\windows\system32\wscntfy.exe
c:\program files\Intel\Wireless\Bin\Dot1XCfg.exe
c:\program files\dell\quickset\quickset .exe
.
**************************************************************************
.
Completion time: 2010-04-12 14:01:08 - machine was rebooted
ComboFix-quarantined-files.txt 2010-04-12 12:00
Pre-Run: 69,170,589,696 bytes free
Post-Run: 67,937,665,024 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 2CCDB658170541D57E2A17365424C5E5
Utilisateur anonyme
12 avril 2010 à 14:26
12 avril 2010 à 14:26
▶ Télécharge UsbFix
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
▶ Double clic sur le raccourci UsbFix présent sur ton bureau .
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
▶ Laisse travailler l'outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
▶ Double clic sur le raccourci UsbFix présent sur ton bureau .
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
▶ Laisse travailler l'outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
alèdoscour
Messages postés
25
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
14 avril 2010
12 avril 2010 à 14:59
12 avril 2010 à 14:59
j'ai lancé USBfix en le telechargeant directement depuis mon portable. Il semble donc que combofix a déjà du éliminer certains problèmes puisqu'il n'est plus tout à fait bloqué.
Par contre une fenêtre s'est ouverte :
the instruction at "0x1000157e" referenced memory at "0x001a0000". The memory could notbe "read". Click on OK to terminate the program.
J'ai cliqué et USBfix s'est relancé.
Depuis il me semble que le scan est très lent même s'il suit son cours.
Est-ce normal?
De plus cela fait trois fois qu'une fenêtre "auto-protect results" s'ouvre pour me dire que trojan.gen a été mis en quarantaine.
Normal aussi?
Par contre une fenêtre s'est ouverte :
the instruction at "0x1000157e" referenced memory at "0x001a0000". The memory could notbe "read". Click on OK to terminate the program.
J'ai cliqué et USBfix s'est relancé.
Depuis il me semble que le scan est très lent même s'il suit son cours.
Est-ce normal?
De plus cela fait trois fois qu'une fenêtre "auto-protect results" s'ouvre pour me dire que trojan.gen a été mis en quarantaine.
Normal aussi?