HELP !!! Infection - Win32:Qandr [Rtk] -
Fermé
Elimie
Messages postés
3
Date d'inscription
samedi 17 avril 2010
Statut
Membre
Dernière intervention
17 avril 2010
-
17 avril 2010 à 15:31
Utilisateur anonyme - 18 avril 2010 à 19:43
Utilisateur anonyme - 18 avril 2010 à 19:43
A voir également:
- HELP !!! Infection - Win32:Qandr [Rtk] -
- Win32:malware-gen ✓ - Forum Virus
- Trojan win32 - Forum Virus
- Télécharger win32 valide pour windows 7 gratuit - Forum Windows
- Win32 pup gen ✓ - Forum Linux / Unix
- Puadimanager win32/installcore ✓ - Forum Virus
32 réponses
Utilisateur anonyme
17 avril 2010 à 15:32
17 avril 2010 à 15:32
Bonjour
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
Serveur N°2
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
@+
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
Serveur N°2
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
@+
Elimie
Messages postés
3
Date d'inscription
samedi 17 avril 2010
Statut
Membre
Dernière intervention
17 avril 2010
17 avril 2010 à 17:44
17 avril 2010 à 17:44
Bonsoir,
merci beaucoup pour votre aide !
ZHP mouline toujours depuis votre message de 15h30... est-ce normal ?
En tous les cas, j'ai fait un enregistrement intermédiaire (la barre d'avancement est à un peu plus d'1/3 mais ne semble plus avancer)...
J'ai mis l'enregistrement de ce 1/3 ici :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijWqqdrB9.txt
Merci !
Elimie
merci beaucoup pour votre aide !
ZHP mouline toujours depuis votre message de 15h30... est-ce normal ?
En tous les cas, j'ai fait un enregistrement intermédiaire (la barre d'avancement est à un peu plus d'1/3 mais ne semble plus avancer)...
J'ai mis l'enregistrement de ce 1/3 ici :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijWqqdrB9.txt
Merci !
Elimie
Elimie
Messages postés
3
Date d'inscription
samedi 17 avril 2010
Statut
Membre
Dernière intervention
17 avril 2010
17 avril 2010 à 17:50
17 avril 2010 à 17:50
Finalement ca vient de se terminer !
Le rapport est là
http://www.cijoint.fr/cjlink.php?file=cj201004/cijWqqdrB9.txt
Merci d'avance pour votre aide !
Elimie
Le rapport est là
http://www.cijoint.fr/cjlink.php?file=cj201004/cijWqqdrB9.txt
Merci d'avance pour votre aide !
Elimie
Utilisateur anonyme
17 avril 2010 à 17:59
17 avril 2010 à 17:59
Re
1)Désactiver le TeaTimer de Spybot (Merci à Nico):
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", sélectionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le rouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.
2) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge et install UsbFix de El Desaparecido , C_XX & Chimay8
Ici : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau.
# Choisi l option 2 (Suppression)
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
@+
1)Désactiver le TeaTimer de Spybot (Merci à Nico):
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", sélectionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le rouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.
2) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge et install UsbFix de El Desaparecido , C_XX & Chimay8
Ici : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau.
# Choisi l option 2 (Suppression)
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Hello !
j'ai fait ca mais problème lors du redémarrage, le PC est "à moitié" planté, c'est à dire sablier dans la barre de démarrage bleue, je ne peux rien faire....
Par contre, ouverture des raccourcis de bureau possible...
Que se passe-t-il ?
Pas d'accès internet pour poster le rapport...
Je suis passée sur un autre PC pour pouvoir poster !
Help !
Merci !
Elimie
j'ai fait ca mais problème lors du redémarrage, le PC est "à moitié" planté, c'est à dire sablier dans la barre de démarrage bleue, je ne peux rien faire....
Par contre, ouverture des raccourcis de bureau possible...
Que se passe-t-il ?
Pas d'accès internet pour poster le rapport...
Je suis passée sur un autre PC pour pouvoir poster !
Help !
Merci !
Elimie
Utilisateur anonyme
17 avril 2010 à 20:17
17 avril 2010 à 20:17
Re
Arrête ton PC et redémarre le .
Tiens moi au courant ;merci
@+
Arrête ton PC et redémarre le .
Tiens moi au courant ;merci
@+
Hello !
après troisième redémarrage "à la sauvage", barre des taches déplantée, ouverture mozilla, début requête et là tout figé et tout planté à nouveau, je ne peux rien faire...
je vais faire 4eme arrêt à la sauvage...
Ventilo se met en route, PC tourne comme si gros travail en cours...
Incompréhensible !
Help !
Merci ;o)
après troisième redémarrage "à la sauvage", barre des taches déplantée, ouverture mozilla, début requête et là tout figé et tout planté à nouveau, je ne peux rien faire...
je vais faire 4eme arrêt à la sauvage...
Ventilo se met en route, PC tourne comme si gros travail en cours...
Incompréhensible !
Help !
Merci ;o)
Utilisateur anonyme
17 avril 2010 à 20:51
17 avril 2010 à 20:51
Re
Redémarre en mode sans échec avec prise en charge réseau.
Cela marche t' il?
@+
Redémarre en mode sans échec avec prise en charge réseau.
Cela marche t' il?
@+
Yala !
Ca fonctionne nickel en mode sans échec avec réseau (suis dessus !)
Je te poste en même temps le rapport USBfix
Merci et à dans quelques minutes pour la suite de l'aide ! ;o)
############################## | UsbFix V6.105 |
User : USER (Administrateurs) # HOME-8A984254CB
Update on 17/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:04:14 | 17/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100417-0] 4.8.1368 [ Enabled | Updated ]
C:\ -> Disque fixe local # 68.36 Go (54.39 Go free) [WINXP] # NTFS
D:\ -> Disque fixe local # 117.94 Go (117.87 Go free) [MES DONNEES] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque fixe local # 149.01 Go (117.66 Go free) [LACIE] # FAT32
L:\ -> Disque amovible
M:\ -> Disque amovible
N:\ -> Disque amovible
O:\ -> Disque amovible # 489.12 Mo (154.3 Mo free) # FAT
################## | Elements infectieux |
Supprimé ! C:\Recycler\S-1-5-21-1547161642-1500820517-1644491937-1003
Supprimé ! D:\Recycler\S-1-5-21-1547161642-1500820517-1644491937-1003
################## | Registre |
################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{fcc66686-e27d-11de-b021-0030f1f4bfd3}\Shell\Auto\Command
################## | Listing des fichiers présent |
[25/11/2009 22:01|--a------|0] C:\AUTOEXEC.BAT
[25/11/2009 21:35|---hs----|212] C:\boot.ini
[14/04/2008 14:00|-rahs----|4952] C:\Bootfont.bin
[25/11/2009 22:01|--a------|0] C:\CONFIG.SYS
[25/11/2009 22:01|-rahs----|0] C:\IO.SYS
[25/11/2009 22:01|-rahs----|0] C:\MSDOS.SYS
[14/04/2008 14:00|-rahs----|47564] C:\NTDETECT.COM
[14/04/2008 14:00|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[17/04/2010 19:09|--a------|1885] C:\UsbFix.txt
[16/04/2009 18:52|--a------|98816] K:\50 ans Et .2.doc
[01/07/2007 20:31|--ahs----|6144] K:\Thumbs.db
[07/01/2008 18:58|--a------|25088] K:\PC PL Rochon.doc
[29/01/2008 17:57|--a------|25088] K:\Studio Rouen.doc
[24/03/2009 08:57|--a------|100864] K:\50 ans Et.doc
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# O:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | Upload |
Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_HOME-8A984254CB.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.105 ! |
Ca fonctionne nickel en mode sans échec avec réseau (suis dessus !)
Je te poste en même temps le rapport USBfix
Merci et à dans quelques minutes pour la suite de l'aide ! ;o)
############################## | UsbFix V6.105 |
User : USER (Administrateurs) # HOME-8A984254CB
Update on 17/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:04:14 | 17/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100417-0] 4.8.1368 [ Enabled | Updated ]
C:\ -> Disque fixe local # 68.36 Go (54.39 Go free) [WINXP] # NTFS
D:\ -> Disque fixe local # 117.94 Go (117.87 Go free) [MES DONNEES] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque fixe local # 149.01 Go (117.66 Go free) [LACIE] # FAT32
L:\ -> Disque amovible
M:\ -> Disque amovible
N:\ -> Disque amovible
O:\ -> Disque amovible # 489.12 Mo (154.3 Mo free) # FAT
################## | Elements infectieux |
Supprimé ! C:\Recycler\S-1-5-21-1547161642-1500820517-1644491937-1003
Supprimé ! D:\Recycler\S-1-5-21-1547161642-1500820517-1644491937-1003
################## | Registre |
################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{fcc66686-e27d-11de-b021-0030f1f4bfd3}\Shell\Auto\Command
################## | Listing des fichiers présent |
[25/11/2009 22:01|--a------|0] C:\AUTOEXEC.BAT
[25/11/2009 21:35|---hs----|212] C:\boot.ini
[14/04/2008 14:00|-rahs----|4952] C:\Bootfont.bin
[25/11/2009 22:01|--a------|0] C:\CONFIG.SYS
[25/11/2009 22:01|-rahs----|0] C:\IO.SYS
[25/11/2009 22:01|-rahs----|0] C:\MSDOS.SYS
[14/04/2008 14:00|-rahs----|47564] C:\NTDETECT.COM
[14/04/2008 14:00|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[17/04/2010 19:09|--a------|1885] C:\UsbFix.txt
[16/04/2009 18:52|--a------|98816] K:\50 ans Et .2.doc
[01/07/2007 20:31|--ahs----|6144] K:\Thumbs.db
[07/01/2008 18:58|--a------|25088] K:\PC PL Rochon.doc
[29/01/2008 17:57|--a------|25088] K:\Studio Rouen.doc
[24/03/2009 08:57|--a------|100864] K:\50 ans Et.doc
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# O:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | Upload |
Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_HOME-8A984254CB.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.105 ! |
Utilisateur anonyme
17 avril 2010 à 21:17
17 avril 2010 à 21:17
Re
Toujours dans ce mode sans échec;fait ceci:
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Installe le console de récupération comme demandé ;utile en cas de plantage
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
Toujours dans ce mode sans échec;fait ceci:
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Installe le console de récupération comme demandé ;utile en cas de plantage
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
Hello again !
voici le rapport suite à Combofix :
ComboFix 10-04-17.01 - USER 17/04/2010 21:45:03.1.2 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.293 [GMT 2:00]
Lancé depuis: c:\documents and settings\USER\Bureau\asdehi.exe
AV: avast! antivirus 4.8.1368 [VPS 100417-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\USER\Application Data\avdrn.dat
c:\windows\system32\drivers\1026030160.sys
c:\windows\system32\fjhdyfhsn.bat
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-17 au 2010-04-17 ))))))))))))))))))))))))))))))))))))
.
2010-04-17 18:58 . 2010-04-17 18:58 -------- d-----w- c:\windows\system32\SeaPort
2010-04-17 17:10 . 2010-04-17 17:10 1410 ----a-w- C:\UsbFix_Upload_Me_HOME-8A984254CB.zip
2010-04-17 16:59 . 2010-04-17 17:10 -------- d-----w- C:\UsbFix
2010-04-17 13:37 . 2010-04-17 15:38 -------- d-----w- c:\program files\ZHPDiag
2010-04-17 12:38 . 2008-04-13 09:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-17 12:38 . 2008-04-13 09:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-04-17 12:36 . 2008-04-13 09:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-04-17 12:36 . 2008-04-13 09:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-04-17 12:35 . 2008-04-13 09:41 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-03-27 09:41 . 2010-03-27 09:41 0 ----a-w- c:\windows\nsreg.dat
2010-03-27 09:41 . 2010-03-27 09:41 -------- d-----w- c:\documents and settings\USER\Local Settings\Application Data\Mozilla
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-17 17:17 . 2008-04-14 12:00 829440 ----a-w- c:\windows\system32\drivers\asyncmac.sys
2010-04-17 17:15 . 2010-04-17 17:15 12 ----a-w- c:\documents and settings\NetworkService\Application Data\kcmdte.dat
2010-04-14 19:09 . 2009-12-16 17:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-09 17:35 . 2010-02-12 15:31 -------- d-----w- c:\documents and settings\USER\Application Data\vlc
2010-03-30 10:34 . 2009-12-08 07:33 -------- d-----w- c:\documents and settings\USER\Application Data\AdobeUM
2010-03-28 09:17 . 2008-04-14 12:00 81734 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-28 09:17 . 2008-04-14 12:00 503570 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-12 16:05 . 2010-02-12 15:31 -------- d-----w- c:\documents and settings\USER\Application Data\dvdcss
2010-03-10 06:16 . 2008-04-14 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-04-14 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-18 12:45 . 2009-11-25 20:39 55664 ----a-w- c:\documents and settings\USER\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-18 12:45 . 2010-02-18 12:45 -------- d-----w- c:\documents and settings\USER\Application Data\Micro Application
2010-02-18 11:58 . 2010-02-18 11:58 -------- d-----w- c:\program files\Micro Application
2010-02-18 11:58 . 2009-11-27 20:02 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-18 10:38 . 2010-02-18 10:38 -------- d-----w- c:\program files\QuickTime
2010-02-18 10:38 . 2010-02-18 10:38 -------- d-----w- c:\documents and settings\All Users\Application Data\QuickTime
2010-02-17 07:25 . 2010-02-17 07:25 -------- d-----w- c:\documents and settings\USER\Application Data\Ahead
2010-02-17 07:23 . 2010-02-17 07:23 -------- d-----w- c:\program files\Ahead
2010-02-17 07:23 . 2010-02-17 07:23 -------- d-----w- c:\program files\Fichiers communs\Ahead
2010-02-16 19:06 . 2008-04-14 12:00 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-12 16:59 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-04-14 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-04-14 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.
------- Sigcheck -------
[-] 2010-04-17 17:17 . E9D8E9CEBE3C626636228C26101A14E8 . 829440 . . [------] . . c:\windows\system32\drivers\asyncmac.sys
[7] 2008-04-14 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\asyncmac.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-09 39408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoftAP"="c:\program files\Arcadyan Wireless\NetCfgWizard.exe" [2004-02-17 536576]
"Wireless SoftAP"="c:\program files\Arcadyan Wireless\Configuration\SoftAp.exe" [2004-02-17 667648]
"SoundMan"="SOUNDMAN.EXE" [2005-04-06 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-04-06 2805248]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-02-18 98304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\USER\Menu D'marrer\Programmes\D'marrage\
monxga32.exe [2008-4-14 31232]
Notification de cadeaux MSN.lnk - c:\documents and settings\USER\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-12-9 135680]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2009-12-15 1585152]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24/12/2009 14:51 691696]
S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [09/12/2009 12:42 114768]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [09/12/2009 12:42 20560]
S2 PCTWPASV;SoftAP WPA Authenticator Service;c:\program files\Arcadyan Wireless\pctwpasv.exe [30/01/2004 14:59 204800]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
2010-04-17 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-12-11 21:18]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {5D1B0631-C74A-453B-9597-D24A4D8240C3} = 212.27.40.240,212.27.40.241
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20091210075554
FF - ProfilePath - c:\documents and settings\USER\Application Data\Mozilla\Firefox\Profiles\yzee1wkq.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-17 21:48
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-04-17 21:50:22
ComboFix-quarantined-files.txt 2010-04-17 19:50
Avant-CF: 58 526 093 312 octets libres
Après-CF: 58 657 189 888 octets libres
- - End Of File - - 1AEB33121C87B96D3C2EFC2DD9FC74AD
A tout de suite !
Merci !
Elimie qui galère !
voici le rapport suite à Combofix :
ComboFix 10-04-17.01 - USER 17/04/2010 21:45:03.1.2 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.293 [GMT 2:00]
Lancé depuis: c:\documents and settings\USER\Bureau\asdehi.exe
AV: avast! antivirus 4.8.1368 [VPS 100417-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\USER\Application Data\avdrn.dat
c:\windows\system32\drivers\1026030160.sys
c:\windows\system32\fjhdyfhsn.bat
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-17 au 2010-04-17 ))))))))))))))))))))))))))))))))))))
.
2010-04-17 18:58 . 2010-04-17 18:58 -------- d-----w- c:\windows\system32\SeaPort
2010-04-17 17:10 . 2010-04-17 17:10 1410 ----a-w- C:\UsbFix_Upload_Me_HOME-8A984254CB.zip
2010-04-17 16:59 . 2010-04-17 17:10 -------- d-----w- C:\UsbFix
2010-04-17 13:37 . 2010-04-17 15:38 -------- d-----w- c:\program files\ZHPDiag
2010-04-17 12:38 . 2008-04-13 09:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-17 12:38 . 2008-04-13 09:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-04-17 12:36 . 2008-04-13 09:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-04-17 12:36 . 2008-04-13 09:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-04-17 12:35 . 2008-04-13 09:41 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-03-27 09:41 . 2010-03-27 09:41 0 ----a-w- c:\windows\nsreg.dat
2010-03-27 09:41 . 2010-03-27 09:41 -------- d-----w- c:\documents and settings\USER\Local Settings\Application Data\Mozilla
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-17 17:17 . 2008-04-14 12:00 829440 ----a-w- c:\windows\system32\drivers\asyncmac.sys
2010-04-17 17:15 . 2010-04-17 17:15 12 ----a-w- c:\documents and settings\NetworkService\Application Data\kcmdte.dat
2010-04-14 19:09 . 2009-12-16 17:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-09 17:35 . 2010-02-12 15:31 -------- d-----w- c:\documents and settings\USER\Application Data\vlc
2010-03-30 10:34 . 2009-12-08 07:33 -------- d-----w- c:\documents and settings\USER\Application Data\AdobeUM
2010-03-28 09:17 . 2008-04-14 12:00 81734 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-28 09:17 . 2008-04-14 12:00 503570 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-12 16:05 . 2010-02-12 15:31 -------- d-----w- c:\documents and settings\USER\Application Data\dvdcss
2010-03-10 06:16 . 2008-04-14 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-04-14 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-18 12:45 . 2009-11-25 20:39 55664 ----a-w- c:\documents and settings\USER\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-18 12:45 . 2010-02-18 12:45 -------- d-----w- c:\documents and settings\USER\Application Data\Micro Application
2010-02-18 11:58 . 2010-02-18 11:58 -------- d-----w- c:\program files\Micro Application
2010-02-18 11:58 . 2009-11-27 20:02 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-18 10:38 . 2010-02-18 10:38 -------- d-----w- c:\program files\QuickTime
2010-02-18 10:38 . 2010-02-18 10:38 -------- d-----w- c:\documents and settings\All Users\Application Data\QuickTime
2010-02-17 07:25 . 2010-02-17 07:25 -------- d-----w- c:\documents and settings\USER\Application Data\Ahead
2010-02-17 07:23 . 2010-02-17 07:23 -------- d-----w- c:\program files\Ahead
2010-02-17 07:23 . 2010-02-17 07:23 -------- d-----w- c:\program files\Fichiers communs\Ahead
2010-02-16 19:06 . 2008-04-14 12:00 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-12 16:59 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-04-14 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-04-14 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.
------- Sigcheck -------
[-] 2010-04-17 17:17 . E9D8E9CEBE3C626636228C26101A14E8 . 829440 . . [------] . . c:\windows\system32\drivers\asyncmac.sys
[7] 2008-04-14 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\asyncmac.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-09 39408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoftAP"="c:\program files\Arcadyan Wireless\NetCfgWizard.exe" [2004-02-17 536576]
"Wireless SoftAP"="c:\program files\Arcadyan Wireless\Configuration\SoftAp.exe" [2004-02-17 667648]
"SoundMan"="SOUNDMAN.EXE" [2005-04-06 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-04-06 2805248]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-02-18 98304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\USER\Menu D'marrer\Programmes\D'marrage\
monxga32.exe [2008-4-14 31232]
Notification de cadeaux MSN.lnk - c:\documents and settings\USER\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-12-9 135680]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2009-12-15 1585152]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24/12/2009 14:51 691696]
S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [09/12/2009 12:42 114768]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [09/12/2009 12:42 20560]
S2 PCTWPASV;SoftAP WPA Authenticator Service;c:\program files\Arcadyan Wireless\pctwpasv.exe [30/01/2004 14:59 204800]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
2010-04-17 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-12-11 21:18]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {5D1B0631-C74A-453B-9597-D24A4D8240C3} = 212.27.40.240,212.27.40.241
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20091210075554
FF - ProfilePath - c:\documents and settings\USER\Application Data\Mozilla\Firefox\Profiles\yzee1wkq.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-17 21:48
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-04-17 21:50:22
ComboFix-quarantined-files.txt 2010-04-17 19:50
Avant-CF: 58 526 093 312 octets libres
Après-CF: 58 657 189 888 octets libres
- - End Of File - - 1AEB33121C87B96D3C2EFC2DD9FC74AD
A tout de suite !
Merci !
Elimie qui galère !
Utilisateur anonyme
17 avril 2010 à 22:07
17 avril 2010 à 22:07
Re
toujours dans ce mode;
Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's.
Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
@+
toujours dans ce mode;
Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's.
Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
@+
Bonjour !
voici le rapport suite à Malaware :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 4003
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
18/04/2010 09:33:50
mbam-log-2010-04-18 (09-33-50).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 136747
Temps écoulé: 13 minute(s), 51 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac (Rootkit.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\1026030160.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{60F65446-E001-483D-ADF1-D3BF4E42E4BF}\RP113\A0012236.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{60F65446-E001-483D-ADF1-D3BF4E42E4BF}\RP113\A0012254.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\asyncmac.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Par contre, le PC bloque tjs lors du redémarrage en mode normal (la barre des tâches est occupée et lors de l'ouverture d'une fenêtre mozilla, après un clic ou deux : "mozilla ne répond pas" et l'extinction sauvage est la seule solution...)
Merci !
La suite dans quelques minutes !
Elimie
voici le rapport suite à Malaware :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 4003
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
18/04/2010 09:33:50
mbam-log-2010-04-18 (09-33-50).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 136747
Temps écoulé: 13 minute(s), 51 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac (Rootkit.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\1026030160.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{60F65446-E001-483D-ADF1-D3BF4E42E4BF}\RP113\A0012236.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{60F65446-E001-483D-ADF1-D3BF4E42E4BF}\RP113\A0012254.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\asyncmac.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Par contre, le PC bloque tjs lors du redémarrage en mode normal (la barre des tâches est occupée et lors de l'ouverture d'une fenêtre mozilla, après un clic ou deux : "mozilla ne répond pas" et l'extinction sauvage est la seule solution...)
Merci !
La suite dans quelques minutes !
Elimie
Utilisateur anonyme
18 avril 2010 à 10:15
18 avril 2010 à 10:15
Bonjour
En mode sans échec avec prise en charge réseau;fait ceci:
|==>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur/!\<==|
|===========>il est fort déconseillé de le transposer sur un autre ordinateur !<==========|
-----------------------------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
Driver::
asyncmac
Rootkit ::
c:\windows\system32\drivers\asyncmac.sys
File::
Folder::
Services::
Netsvc::
Registry::
-----------------------------------------------------------------
* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
* Quitte le Bloc Notes
* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
@+
En mode sans échec avec prise en charge réseau;fait ceci:
|==>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur/!\<==|
|===========>il est fort déconseillé de le transposer sur un autre ordinateur !<==========|
-----------------------------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
Driver::
asyncmac
Rootkit ::
c:\windows\system32\drivers\asyncmac.sys
File::
Folder::
Services::
Netsvc::
Registry::
-----------------------------------------------------------------
* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
* Quitte le Bloc Notes
* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
@+
Voici le rapport suite au scan combofix comme conseillé :
ComboFix 10-04-17.02 - USER 18/04/2010 10:27:07.2.2 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.186 [GMT 2:00]
Lancé depuis: c:\documents and settings\USER\Bureau\asdehi.exe
Commutateurs utilisés :: c:\documents and settings\USER\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100417-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\asyncmac.sys était absent
Copie restaurée à partir de - c:\windows\system32\dllcache\asyncmac.sys
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASYNCMAC
-------\Service_AsyncMac
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-18 au 2010-04-18 ))))))))))))))))))))))))))))))))))))
.
2010-04-18 08:29 . 2008-04-14 12:00 14336 ----a-w- c:\windows\system32\drivers\asyncmac.sys
2010-04-18 07:16 . 2010-04-18 07:16 -------- d-----w- c:\documents and settings\USER\Application Data\Malwarebytes
2010-04-18 07:16 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-18 07:16 . 2010-04-18 07:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-18 07:16 . 2010-04-18 07:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-18 07:16 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-17 18:58 . 2010-04-17 18:58 -------- d-----w- c:\windows\system32\SeaPort
2010-04-17 17:10 . 2010-04-17 17:10 1410 ----a-w- C:\UsbFix_Upload_Me_HOME-8A984254CB.zip
2010-04-17 16:59 . 2010-04-17 17:10 -------- d-----w- C:\UsbFix
2010-04-17 13:37 . 2010-04-17 15:38 -------- d-----w- c:\program files\ZHPDiag
2010-04-17 12:38 . 2008-04-13 09:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-17 12:38 . 2008-04-13 09:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-04-17 12:36 . 2008-04-13 09:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-04-17 12:36 . 2008-04-13 09:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-04-17 12:35 . 2008-04-13 09:41 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-03-27 09:41 . 2010-03-27 09:41 0 ----a-w- c:\windows\nsreg.dat
2010-03-27 09:41 . 2010-03-27 09:41 -------- d-----w- c:\documents and settings\USER\Local Settings\Application Data\Mozilla
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-17 17:15 . 2010-04-17 17:15 12 ----a-w- c:\documents and settings\NetworkService\Application Data\kcmdte.dat
2010-04-17 12:29 . 2010-04-17 12:29 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\kcmdte.dat
2010-04-14 19:09 . 2009-12-16 17:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-09 17:35 . 2010-02-12 15:31 -------- d-----w- c:\documents and settings\USER\Application Data\vlc
2010-03-30 10:34 . 2009-12-08 07:33 -------- d-----w- c:\documents and settings\USER\Application Data\AdobeUM
2010-03-28 09:17 . 2008-04-14 12:00 81734 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-28 09:17 . 2008-04-14 12:00 503570 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-12 16:05 . 2010-02-12 15:31 -------- d-----w- c:\documents and settings\USER\Application Data\dvdcss
2010-03-10 06:16 . 2008-04-14 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-04-14 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-18 12:45 . 2009-11-25 20:39 55664 ----a-w- c:\documents and settings\USER\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-18 12:45 . 2010-02-18 12:45 -------- d-----w- c:\documents and settings\USER\Application Data\Micro Application
2010-02-18 11:58 . 2010-02-18 11:58 -------- d-----w- c:\program files\Micro Application
2010-02-18 11:58 . 2009-11-27 20:02 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-18 10:38 . 2010-02-18 10:38 -------- d-----w- c:\program files\QuickTime
2010-02-18 10:38 . 2010-02-18 10:38 -------- d-----w- c:\documents and settings\All Users\Application Data\QuickTime
2010-02-16 19:06 . 2008-04-14 12:00 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-12 16:59 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-04-14 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-04-14 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-09 39408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoftAP"="c:\program files\Arcadyan Wireless\NetCfgWizard.exe" [2004-02-17 536576]
"Wireless SoftAP"="c:\program files\Arcadyan Wireless\Configuration\SoftAp.exe" [2004-02-17 667648]
"SoundMan"="SOUNDMAN.EXE" [2005-04-06 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-04-06 2805248]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-02-18 98304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\USER\Menu D'marrer\Programmes\D'marrage\
monxga32.exe [2008-4-14 31232]
Notification de cadeaux MSN.lnk - c:\documents and settings\USER\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-12-9 135680]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2009-12-15 1585152]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24/12/2009 14:51 691696]
S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [09/12/2009 12:42 114768]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [09/12/2009 12:42 20560]
S2 PCTWPASV;SoftAP WPA Authenticator Service;c:\program files\Arcadyan Wireless\pctwpasv.exe [30/01/2004 14:59 204800]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
2010-04-18 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-12-11 21:18]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {5D1B0631-C74A-453B-9597-D24A4D8240C3} = 212.27.40.240,212.27.40.241
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20091210075554
FF - ProfilePath - c:\documents and settings\USER\Application Data\Mozilla\Firefox\Profiles\yzee1wkq.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-18 10:31
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(636)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(1452)
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-04-18 10:34:22 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-18 08:34
ComboFix2.txt 2010-04-17 19:50
Avant-CF: 58 609 909 760 octets libres
Après-CF: 58 493 509 632 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 106221493163EE3F232EEE7A67EBDED8
A tout de suite !
Elimie
ComboFix 10-04-17.02 - USER 18/04/2010 10:27:07.2.2 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.186 [GMT 2:00]
Lancé depuis: c:\documents and settings\USER\Bureau\asdehi.exe
Commutateurs utilisés :: c:\documents and settings\USER\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100417-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\asyncmac.sys était absent
Copie restaurée à partir de - c:\windows\system32\dllcache\asyncmac.sys
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASYNCMAC
-------\Service_AsyncMac
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-18 au 2010-04-18 ))))))))))))))))))))))))))))))))))))
.
2010-04-18 08:29 . 2008-04-14 12:00 14336 ----a-w- c:\windows\system32\drivers\asyncmac.sys
2010-04-18 07:16 . 2010-04-18 07:16 -------- d-----w- c:\documents and settings\USER\Application Data\Malwarebytes
2010-04-18 07:16 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-18 07:16 . 2010-04-18 07:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-18 07:16 . 2010-04-18 07:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-18 07:16 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-17 18:58 . 2010-04-17 18:58 -------- d-----w- c:\windows\system32\SeaPort
2010-04-17 17:10 . 2010-04-17 17:10 1410 ----a-w- C:\UsbFix_Upload_Me_HOME-8A984254CB.zip
2010-04-17 16:59 . 2010-04-17 17:10 -------- d-----w- C:\UsbFix
2010-04-17 13:37 . 2010-04-17 15:38 -------- d-----w- c:\program files\ZHPDiag
2010-04-17 12:38 . 2008-04-13 09:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-17 12:38 . 2008-04-13 09:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-04-17 12:36 . 2008-04-13 09:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-04-17 12:36 . 2008-04-13 09:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-04-17 12:35 . 2008-04-13 09:41 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-03-27 09:41 . 2010-03-27 09:41 0 ----a-w- c:\windows\nsreg.dat
2010-03-27 09:41 . 2010-03-27 09:41 -------- d-----w- c:\documents and settings\USER\Local Settings\Application Data\Mozilla
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-17 17:15 . 2010-04-17 17:15 12 ----a-w- c:\documents and settings\NetworkService\Application Data\kcmdte.dat
2010-04-17 12:29 . 2010-04-17 12:29 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\kcmdte.dat
2010-04-14 19:09 . 2009-12-16 17:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-09 17:35 . 2010-02-12 15:31 -------- d-----w- c:\documents and settings\USER\Application Data\vlc
2010-03-30 10:34 . 2009-12-08 07:33 -------- d-----w- c:\documents and settings\USER\Application Data\AdobeUM
2010-03-28 09:17 . 2008-04-14 12:00 81734 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-28 09:17 . 2008-04-14 12:00 503570 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-12 16:05 . 2010-02-12 15:31 -------- d-----w- c:\documents and settings\USER\Application Data\dvdcss
2010-03-10 06:16 . 2008-04-14 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-04-14 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-18 12:45 . 2009-11-25 20:39 55664 ----a-w- c:\documents and settings\USER\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-18 12:45 . 2010-02-18 12:45 -------- d-----w- c:\documents and settings\USER\Application Data\Micro Application
2010-02-18 11:58 . 2010-02-18 11:58 -------- d-----w- c:\program files\Micro Application
2010-02-18 11:58 . 2009-11-27 20:02 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-18 10:38 . 2010-02-18 10:38 -------- d-----w- c:\program files\QuickTime
2010-02-18 10:38 . 2010-02-18 10:38 -------- d-----w- c:\documents and settings\All Users\Application Data\QuickTime
2010-02-16 19:06 . 2008-04-14 12:00 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-12 16:59 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-04-14 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-04-14 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-09 39408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoftAP"="c:\program files\Arcadyan Wireless\NetCfgWizard.exe" [2004-02-17 536576]
"Wireless SoftAP"="c:\program files\Arcadyan Wireless\Configuration\SoftAp.exe" [2004-02-17 667648]
"SoundMan"="SOUNDMAN.EXE" [2005-04-06 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-04-06 2805248]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-02-18 98304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\USER\Menu D'marrer\Programmes\D'marrage\
monxga32.exe [2008-4-14 31232]
Notification de cadeaux MSN.lnk - c:\documents and settings\USER\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-12-9 135680]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2009-12-15 1585152]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24/12/2009 14:51 691696]
S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [09/12/2009 12:42 114768]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [09/12/2009 12:42 20560]
S2 PCTWPASV;SoftAP WPA Authenticator Service;c:\program files\Arcadyan Wireless\pctwpasv.exe [30/01/2004 14:59 204800]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
2010-04-18 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-12-11 21:18]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {5D1B0631-C74A-453B-9597-D24A4D8240C3} = 212.27.40.240,212.27.40.241
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20091210075554
FF - ProfilePath - c:\documents and settings\USER\Application Data\Mozilla\Firefox\Profiles\yzee1wkq.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-18 10:31
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(636)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(1452)
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-04-18 10:34:22 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-18 08:34
ComboFix2.txt 2010-04-17 19:50
Avant-CF: 58 609 909 760 octets libres
Après-CF: 58 493 509 632 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 106221493163EE3F232EEE7A67EBDED8
A tout de suite !
Elimie
Utilisateur anonyme
18 avril 2010 à 10:49
18 avril 2010 à 10:49
Re
? Rends toi sur ce site :
https://www.virustotal.com/gui/
? Clique sur " parcourir ", cherche le premier fichier ci dessous :
c:\documents and settings\NetworkService\Application Data\kcmdte.dat
c:\windows\system32\config\systemprofile\Application Data\kcmdte.dat
? Clique sur Send File.
? Un rapport va s'élaborer ligne à ligne.
? Attends la fin. Il doit comprendre la taille du fichier envoyé.
? Sauvegarde le rapport avec le bloc-notes.
? Copie le dans ta réponse.
(!) Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyser le fichier maintenant
Procède de même pour le deuxième fichier;merci
@+
? Rends toi sur ce site :
https://www.virustotal.com/gui/
? Clique sur " parcourir ", cherche le premier fichier ci dessous :
c:\documents and settings\NetworkService\Application Data\kcmdte.dat
c:\windows\system32\config\systemprofile\Application Data\kcmdte.dat
? Clique sur Send File.
? Un rapport va s'élaborer ligne à ligne.
? Attends la fin. Il doit comprendre la taille du fichier envoyé.
? Sauvegarde le rapport avec le bloc-notes.
? Copie le dans ta réponse.
(!) Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyser le fichier maintenant
Procède de même pour le deuxième fichier;merci
@+
Voilà ce que ca donne :
Fichier kcmdte.dat reçu le 2010.04.18 08:59:16 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.18 -
AhnLab-V3 5.0.0.2 2010.04.18 -
AntiVir 7.10.6.115 2010.04.16 -
Antiy-AVL 2.0.3.7 2010.04.16 -
Authentium 5.2.0.5 2010.04.16 -
Avast 4.8.1351.0 2010.04.17 -
Avast5 5.0.332.0 2010.04.17 -
AVG 9.0.0.787 2010.04.17 -
BitDefender 7.2 2010.04.18 -
CAT-QuickHeal 10.00 2010.04.17 -
ClamAV 0.96.0.3-git 2010.04.18 -
Comodo 4635 2010.04.18 -
DrWeb 5.0.2.03300 2010.04.18 -
eSafe 7.0.17.0 2010.04.15 -
eTrust-Vet 35.2.7431 2010.04.17 -
F-Prot 4.5.1.85 2010.04.17 -
F-Secure 9.0.15370.0 2010.04.16 -
Fortinet 4.0.14.0 2010.04.17 -
GData 19 2010.04.18 -
Ikarus T3.1.1.80.0 2010.04.18 -
Jiangmin 13.0.900 2010.04.18 -
Kaspersky 7.0.0.125 2010.04.18 -
McAfee 5.400.0.1158 2010.04.18 -
McAfee-GW-Edition 6.8.5 2010.04.18 -
Microsoft 1.5605 2010.04.18 -
NOD32 5037 2010.04.18 -
Norman 6.04.11 2010.04.16 -
nProtect 2010-04-18.01 2010.04.18 -
Panda 10.0.2.7 2010.04.17 -
PCTools 7.0.3.5 2010.04.18 -
Prevx 3.0 2010.04.18 -
Rising 22.43.06.02 2010.04.18 -
Sophos 4.52.0 2010.04.18 -
Sunbelt 6188 2010.04.17 -
Symantec 20091.2.0.41 2010.04.18 -
TheHacker 6.5.2.0.264 2010.04.18 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.17.2282 2010.04.17 -
VirusBuster 5.0.27.0 2010.04.17 -
Information additionnelle
File size: 12 bytes
MD5...: 7269e577434a90edc97adec52154d659
SHA1..: 25d247009d4af0d1f72cc47edd16ae2cc96a3872
SHA256: 88d8e895c8221d4422ac3ee10462f4ba1bc0244f8a67221377add53fa9b3c766
ssdeep: 3:IutKyn:Iu4y
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Pour le deuxième :
ichier kcmdte.dat reçu le 2010.04.18 09:02:48 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.18 -
AhnLab-V3 5.0.0.2 2010.04.18 -
AntiVir 7.10.6.115 2010.04.16 -
Antiy-AVL 2.0.3.7 2010.04.16 -
Authentium 5.2.0.5 2010.04.16 -
Avast 4.8.1351.0 2010.04.17 -
Avast5 5.0.332.0 2010.04.17 -
AVG 9.0.0.787 2010.04.17 -
BitDefender 7.2 2010.04.18 -
CAT-QuickHeal 10.00 2010.04.17 -
ClamAV 0.96.0.3-git 2010.04.18 -
Comodo 4635 2010.04.18 -
DrWeb 5.0.2.03300 2010.04.18 -
eSafe 7.0.17.0 2010.04.15 -
eTrust-Vet 35.2.7431 2010.04.17 -
F-Prot 4.5.1.85 2010.04.17 -
F-Secure 9.0.15370.0 2010.04.16 -
Fortinet 4.0.14.0 2010.04.17 -
GData 19 2010.04.18 -
Ikarus T3.1.1.80.0 2010.04.18 -
Jiangmin 13.0.900 2010.04.18 -
Kaspersky 7.0.0.125 2010.04.18 -
McAfee 5.400.0.1158 2010.04.18 -
McAfee-GW-Edition 6.8.5 2010.04.18 -
Microsoft 1.5605 2010.04.18 -
NOD32 5037 2010.04.18 -
Norman 6.04.11 2010.04.16 -
nProtect 2010-04-18.01 2010.04.18 -
Panda 10.0.2.7 2010.04.17 -
PCTools 7.0.3.5 2010.04.18 -
Prevx 3.0 2010.04.18 -
Rising 22.43.06.02 2010.04.18 -
Sophos 4.52.0 2010.04.18 -
Sunbelt 6188 2010.04.17 -
Symantec 20091.2.0.41 2010.04.18 -
TheHacker 6.5.2.0.264 2010.04.18 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.17.2282 2010.04.17 -
VirusBuster 5.0.27.0 2010.04.17 -
Information additionnelle
File size: 12 bytes
MD5...: 7269e577434a90edc97adec52154d659
SHA1..: 25d247009d4af0d1f72cc47edd16ae2cc96a3872
SHA256: 88d8e895c8221d4422ac3ee10462f4ba1bc0244f8a67221377add53fa9b3c766
ssdeep: 3:IutKyn:Iu4y
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Unknown!
Par contre je n'ai pas compris ce que signifie "il doit comprendre la taille du fichier envoyé"
Tout ceci t'éclaire-t-il ?
A tout de suite
Elimie
Fichier kcmdte.dat reçu le 2010.04.18 08:59:16 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.18 -
AhnLab-V3 5.0.0.2 2010.04.18 -
AntiVir 7.10.6.115 2010.04.16 -
Antiy-AVL 2.0.3.7 2010.04.16 -
Authentium 5.2.0.5 2010.04.16 -
Avast 4.8.1351.0 2010.04.17 -
Avast5 5.0.332.0 2010.04.17 -
AVG 9.0.0.787 2010.04.17 -
BitDefender 7.2 2010.04.18 -
CAT-QuickHeal 10.00 2010.04.17 -
ClamAV 0.96.0.3-git 2010.04.18 -
Comodo 4635 2010.04.18 -
DrWeb 5.0.2.03300 2010.04.18 -
eSafe 7.0.17.0 2010.04.15 -
eTrust-Vet 35.2.7431 2010.04.17 -
F-Prot 4.5.1.85 2010.04.17 -
F-Secure 9.0.15370.0 2010.04.16 -
Fortinet 4.0.14.0 2010.04.17 -
GData 19 2010.04.18 -
Ikarus T3.1.1.80.0 2010.04.18 -
Jiangmin 13.0.900 2010.04.18 -
Kaspersky 7.0.0.125 2010.04.18 -
McAfee 5.400.0.1158 2010.04.18 -
McAfee-GW-Edition 6.8.5 2010.04.18 -
Microsoft 1.5605 2010.04.18 -
NOD32 5037 2010.04.18 -
Norman 6.04.11 2010.04.16 -
nProtect 2010-04-18.01 2010.04.18 -
Panda 10.0.2.7 2010.04.17 -
PCTools 7.0.3.5 2010.04.18 -
Prevx 3.0 2010.04.18 -
Rising 22.43.06.02 2010.04.18 -
Sophos 4.52.0 2010.04.18 -
Sunbelt 6188 2010.04.17 -
Symantec 20091.2.0.41 2010.04.18 -
TheHacker 6.5.2.0.264 2010.04.18 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.17.2282 2010.04.17 -
VirusBuster 5.0.27.0 2010.04.17 -
Information additionnelle
File size: 12 bytes
MD5...: 7269e577434a90edc97adec52154d659
SHA1..: 25d247009d4af0d1f72cc47edd16ae2cc96a3872
SHA256: 88d8e895c8221d4422ac3ee10462f4ba1bc0244f8a67221377add53fa9b3c766
ssdeep: 3:IutKyn:Iu4y
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Pour le deuxième :
ichier kcmdte.dat reçu le 2010.04.18 09:02:48 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.18 -
AhnLab-V3 5.0.0.2 2010.04.18 -
AntiVir 7.10.6.115 2010.04.16 -
Antiy-AVL 2.0.3.7 2010.04.16 -
Authentium 5.2.0.5 2010.04.16 -
Avast 4.8.1351.0 2010.04.17 -
Avast5 5.0.332.0 2010.04.17 -
AVG 9.0.0.787 2010.04.17 -
BitDefender 7.2 2010.04.18 -
CAT-QuickHeal 10.00 2010.04.17 -
ClamAV 0.96.0.3-git 2010.04.18 -
Comodo 4635 2010.04.18 -
DrWeb 5.0.2.03300 2010.04.18 -
eSafe 7.0.17.0 2010.04.15 -
eTrust-Vet 35.2.7431 2010.04.17 -
F-Prot 4.5.1.85 2010.04.17 -
F-Secure 9.0.15370.0 2010.04.16 -
Fortinet 4.0.14.0 2010.04.17 -
GData 19 2010.04.18 -
Ikarus T3.1.1.80.0 2010.04.18 -
Jiangmin 13.0.900 2010.04.18 -
Kaspersky 7.0.0.125 2010.04.18 -
McAfee 5.400.0.1158 2010.04.18 -
McAfee-GW-Edition 6.8.5 2010.04.18 -
Microsoft 1.5605 2010.04.18 -
NOD32 5037 2010.04.18 -
Norman 6.04.11 2010.04.16 -
nProtect 2010-04-18.01 2010.04.18 -
Panda 10.0.2.7 2010.04.17 -
PCTools 7.0.3.5 2010.04.18 -
Prevx 3.0 2010.04.18 -
Rising 22.43.06.02 2010.04.18 -
Sophos 4.52.0 2010.04.18 -
Sunbelt 6188 2010.04.17 -
Symantec 20091.2.0.41 2010.04.18 -
TheHacker 6.5.2.0.264 2010.04.18 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.17.2282 2010.04.17 -
VirusBuster 5.0.27.0 2010.04.17 -
Information additionnelle
File size: 12 bytes
MD5...: 7269e577434a90edc97adec52154d659
SHA1..: 25d247009d4af0d1f72cc47edd16ae2cc96a3872
SHA256: 88d8e895c8221d4422ac3ee10462f4ba1bc0244f8a67221377add53fa9b3c766
ssdeep: 3:IutKyn:Iu4y
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Unknown!
Par contre je n'ai pas compris ce que signifie "il doit comprendre la taille du fichier envoyé"
Tout ceci t'éclaire-t-il ?
A tout de suite
Elimie
Utilisateur anonyme
18 avril 2010 à 11:11
18 avril 2010 à 11:11
Re
Ok ;rien de ce côté.
Essaie de redémarrer ton PC en mode normal.
Tiens moi au courant.
@+
Ok ;rien de ce côté.
Essaie de redémarrer ton PC en mode normal.
Tiens moi au courant.
@+