Sujet Précédent Sujet Suivant

Virus de pop ups.

mia928 -  
 gen-hackman -
Bonjour, j'ai été asser stupide pour télécharger un fichier pas très safe.. et maintenant je recois des pop ups sans arrêt.. je ne suis pas super bonne avec les ordinateurs.. et en ce moment je suis en train de scanner mon ordi avec Avast... mais de ce que j'ai lu.. ca sert à rien avec ce virus... quelqu'un s'aurait-il comment s'en débarasser?
J'utilise Mozilla Firefox...Windows XP...
A voir également:

69 réponses

Précédent
Réponse 21 / 69
mia928
 
Jme sens mal d'insister.. mais est-ce que quelqu'un d'autre pourrait continuer d'où dédétraqué l'a laisser?
0
Réponse 22 / 69
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut mia928

Faut pas être pressé, moi aussi j'ai une vie

Double clique sur le raccourci d'HijackThis sur ton Bureau, clique sur Do a scan system only coche la case devant la(les) ligne(s) suivante(s) si présente(s)
Si pas de raccourci sur le bureau, il ce trouve ici :
C:\Program Files\trend micro\Zamboni.exe

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{49FB0EE6-BD79-47B9-9447-7A4EB8719FC9}: NameServer = 93.188.163.59,93.188.166.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD858D84-1819-414D-A266-0A0139343FF5}: NameServer = 93.188.163.59,93.188.166.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.59,93.188.166.129
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.163.59,93.188.166.129
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.59,93.188.166.129

- Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked

- Quitte HijackThis

-----

Clique sur démarrer/Exécuter et tape regedit et OK
Presse : CTRL et F
Tout cocher sauf Mot entier seulement
Ecrire ou copier/coller : 93.188.163.59
Clique : Suivant
Si trouvé ==> clic-droit et supprimer
relancer la recherche jusqu'à l'annonce de FIN
Après fais la même chose avec : 93.188.166.129

-----

Télécharge OTM (de Old_Timer) sur le bureau :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTM.exe sur le bureau

- Copie le texte qui se trouve en gras ci-dessous et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

:files
C:\WINDOWS\Jrupya.exe

:commands
[emptytemp]

- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTM

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.

@++ :)
0
Réponse 23 / 69
mia928
 
Salut dédétraqué
Jme sens mal la.. je pensais pas que tu allais revenir.. désolé..

J'ai réouvri HiJackThis.. mais je n'ai pas vu ce que tu as décris..

Voici ce que je vois:

Le seul lien que j'ai pu mettre sur mon bureau est celui ci: http://tinypic.com/images/goodbye.jpg

2- http://tinypic.com/images/goodbye.jpg

3- http://tinypic.com/images/goodbye.jpg

4- http://tinypic.com/images/goodbye.jpg

Et ensuite le document texte ouvre lorsque c'est fini.

NOTE: Aujour'dhui, je n'ai plus de pop ups ca l'air... mais mon ordi est-il encore à risque que cela revient?

Merci encore et encore!
0
Réponse 24 / 69
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut mia928

Faudrait bien lire ce que j'explique, toi tu as utilisé RSIT et moi je te demande avec HijackThis, comme je voie qu'il n'est pas sur le bureau tu le trouvera ici :
C:\Program Files\trend micro\Zamboni.exe

Oui finir la procédure, encore infection

@++ :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 69
mia928
 
Salut dédétraqué

T'as bien raison! desolé.. je ne savais pas où trouver le HiJackThis..

Voici les résultats... de ce que je comprend... ca supprimer mes ficher internet temporaires?

All processes killed
========== FILES ==========
C:\WINDOWS\Jrupya.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: Invité
->Temp folder emptied: 1172706 bytes
->Temporary Internet Files folder emptied: 50149369 bytes
->FireFox cache emptied: 4640398 bytes
->Flash cache emptied: 1797 bytes

User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Moi

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 734035 bytes

User: Utilisateur

User: Zamboni
->Temp folder emptied: 2143820 bytes
->Temporary Internet Files folder emptied: 10372734 bytes
->Java cache emptied: 75310575 bytes
->FireFox cache emptied: 89637142 bytes
->Flash cache emptied: 150780 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 3090235 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 49676 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23969900 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 250.00 mb

OTM by OldTimer - Version 3.1.10.2 log created on 04192010_221154

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_778.dat not found!

Registry entries deleted on Reboot...

Merci! :D
0
mia928
 
Je viens de faire une recherche google... et lorsque je clique un line, cela m'envoi dans un autre site complètement... J'ai vu qu'il y a un post à ce sujet en ce moment.. mais je voulais savoir si les étape que tu me fais suivre va aussi supprimer cette partie du virus?
Merci!
0
Réponse 26 / 69
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut mia928

Effectivement on a fais le ménage des fichiers temp.

Refais un scan avec RSIT et poste le contenu du rapport log.txt à la fin de l'analyse

Le rapport est dans le dossier ici C:\rsit

@++ :)
0
Réponse 27 / 69
mia928
 
Salut dédétraqué

Voila le rapport: https://www.cjoint.com/?eudRzJP8fg

Merci!
0
Réponse 28 / 69
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut mia928

Cela est bon, on va vérifier si rien de caché :

Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer)
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt

@++ :)
0
Réponse 29 / 69
mia928
 
Salut dédétraqué

Voici le rapport:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.6000.17023 (vista_gdr.100222-0012)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=0a3b0c1e05dbe24cbf6e0778eb00c548
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-04-20 04:31:11
# local_time=2010-04-20 01:31:11 (-0400, Atlantique (heure d'été))
# country="Canada"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=769 16775129 100 98 0 207096428 21979802 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=108142
# found=12
# cleaned=12
# scan_time=8199
C:\UsbFix_Upload_Me_UTILISAT-3CF45A.zip multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
C:\Ad-Remover\Quarantine\C\Program Files\Windows Live\Messenger\Riched20.dll.vir Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Documents and Settings\Zamboni\Mes documents\Téléchargements\balligomingo.over.you.45026(2).exe Win32/TrojanDownloader.FakeAlert.AQI trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Documents and Settings\Zamboni\Mes documents\Téléchargements\balligomingo.over.you.45026(3).exe Win32/TrojanDownloader.FakeAlert.AQI trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Documents and Settings\Zamboni\Mes documents\Téléchargements\balligomingo.over.you.45026.exe Win32/TrojanDownloader.FakeAlert.AQI trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Documents and Settings\Zamboni\Mes documents\Téléchargements\MallTycoonSetup-dm.exe Win32/Adware.Trymedia application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Documents and Settings\Zamboni\Mes documents\Téléchargements\Pet_Pals_Animal_Doctor_Setup-dm.exe Win32/Adware.Trymedia application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{F61F9CA3-36E7-44DC-95CB-4D9E05BBB1AB}\RP937\A0106155.dll Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\UsbFix\Quarantine\C\DOCUME~1\Zamboni\LOCALS~1\Temp\Jxp.exe.UsbFix Win32/TrojanDownloader.FakeAlert.AQI trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\UsbFix\Quarantine\C\DOCUME~1\Zamboni\LOCALS~1\Temp\Jxq.exe.UsbFix a variant of Win32/Kryptik.DTU trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\WINDOWS\system32\spool\prtprocs\w32x86\00002262.tmp Win32/Olmarik.XO trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\_OTM\MovedFiles\04192010_221154\C_WINDOWS\Jrupya.exe Win32/TrojanDownloader.FakeAlert.AQI trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=7.00.6000.17023 (vista_gdr.100222-0012)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=0a3b0c1e05dbe24cbf6e0778eb00c548
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-04-20 06:51:25
# local_time=2010-04-20 03:51:25 (-0400, Atlantique (heure d'été))
# country="Canada"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=769 16775129 100 98 0 207104767 21152941 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=108405
# found=1
# cleaned=1
# scan_time=8273
C:\System Volume Information\_restore{F61F9CA3-36E7-44DC-95CB-4D9E05BBB1AB}\RP938\A0106303.exe Win32/TrojanDownloader.FakeAlert.AQI trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

Merci toujours!
0
Réponse 30 / 69
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut mia928

Ton rapport est propre, seulement un point de restauration système infecté que l'on va purger.

Pour des raisons de sécurité et surtout pour garder ton PC propre, on va désactiver la restauration système sur tous les lecteurs :

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

- Coche la case désactiver la restauration et applique

Redémarre l'ordinateur et réactive la restauration système.

Tutoriel XP : http://www.libellules.ch/desactiver_restauration.php

-----

On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

http://pc-system.fr/

- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.

-----

Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

Faire un ménage des fichiers inutiles et de la base de registre :
https://www.malekal.com/tutoriel-ccleaner/

Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.

@++ :)
0
Réponse 31 / 69
mia928
 
J'ai fait tout ce que tu m'as demandé sans problème!
Voici le rapport:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix.txt: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Ad-remover: trouvé !
C:\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Documents and Settings\Zamboni\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Zamboni\Bureau\Ad-R.exe: trouvé !
C:\Documents and Settings\Zamboni\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Zamboni\Bureau\WORT.exe: trouvé !
C:\Documents and Settings\Zamboni\Mes documents\Téléchargements\UsbFix.exe: trouvé !
C:\Documents and Settings\Zamboni\Recent\UsbFix.lnk: trouvé !
C:\Program Files\Mozilla Firefox\WareOut Removal Tool.bat: trouvé !
C:\Program Files\Mozilla Firefox\WORT: trouvé !
C:\Program Files\Mozilla Firefox\WORT\catchme.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Documents and Settings\Zamboni\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Zamboni\Bureau\Ad-R.exe: supprimé !
C:\Program Files\Mozilla Firefox\WareOut Removal Tool.bat: supprimé !
C:\Program Files\Mozilla Firefox\WORT\catchme.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Zamboni\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\Zamboni\Bureau\WORT.exe: supprimé !
C:\Documents and Settings\Zamboni\Mes documents\Téléchargements\UsbFix.exe: supprimé !
C:\Documents and Settings\Zamboni\Recent\UsbFix.lnk: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Ad-remover: supprimé !
C:\Program Files\Mozilla Firefox\WORT: supprimé !
0
Réponse 32 / 69
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut mia928

Super si tout va bien, je te donne quelques consignes de sécurité :

- Windows Update parfaitement à jour http://www.windowsupdate.com/windowsupdate/v6/default.aspx (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré, je te conseil ZoneAlarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- pas de téléchargement illégal, qui est le principal facteur d'infection (µTorrent, BitTorrent, eMule, Limewire, etc..) https://forum.malekal.com/viewtopic.php?t=893&start=
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware, je conseil MalwareByte's Anti-Malware :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour :
https://www.java.com/en/download/uninstalltool.jsp
- faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php

Si tu considères ton problème comme résolu, tu pourras mettre en résolu :
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

Bonne journée/soirée et bon surf

@++ :)
0
Réponse 33 / 69
mia928
 
Merci infiniment!
Mais le problème de sites publicitaires ou de recherches, etc est quand même la lorsque je fais des recherches Google..

Mais c'est bien de savoir que mon ordinateur est plus safe qu'avant!
0
Réponse 34 / 69
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut mia928

Tu as encore des redirections Google?

@++ :)
0
Réponse 35 / 69
mia928
 
Salut dédétraqué

Effectivement, j'ai encore des problèmes avec Google.
Mais j'ai pourtant supprimer le virus, non?
0
Réponse 36 / 69
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut mia928

Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure

@++ :)
0
Réponse 37 / 69
mia928
 
Salut dédétraqué.
Tout à bien fonctionner, voici le rapport: https://www.cjoint.com/?evwXtSP6Vb

Merci!
0
Réponse 38 / 69
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut mia928

Cela me dit que le lien n'est pas ou n'est plus disponible, copie/colle le rapport direct sur le forum.

@++ :)
0
Réponse 39 / 69
mia928
 
Salut dédétraqué
Désolé pour le lien... mais je ne pouvais pas envoyer le message parce qu'il était trop long... alors je vais le couper en deux.

ComboFix 10-04-21.01 - Zamboni 2010-04-21 17:03:21.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.2.1036.18.3071.2574 [GMT -3:00]
Lancé depuis: c:\documents and settings\Zamboni\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090807-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Zamboni\Application Data\.#
c:\documents and settings\Zamboni\Application Data\EurekaLog
c:\windows\system32\Thumbs.db

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-21 au 2010-04-21 ))))))))))))))))))))))))))))))))))))
.

2010-04-20 23:45 . 2010-04-20 23:45 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-20 23:44 . 2010-04-20 23:44 79488 ----a-w- c:\documents and settings\Zamboni\Application Data\Sun\Java\jre1.6.0_20\gtapi.dll
2010-04-20 23:44 . 2010-04-20 23:44 152576 ----a-w- c:\documents and settings\Zamboni\Application Data\Sun\Java\jre1.6.0_20\lzma.dll
2010-04-20 02:12 . 2010-04-20 02:12 -------- d-----w- c:\program files\ESET
2010-04-18 23:56 . 2010-04-20 23:27 -------- d-----w- c:\program files\trend micro
2010-04-16 21:16 . 2010-04-16 21:16 -------- d-----w- c:\program files\Ares
2010-04-13 10:26 . 2010-04-13 10:26 -------- d-----w- c:\program files\iPod
2010-04-13 10:26 . 2010-04-13 10:27 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-04-13 10:24 . 2010-04-13 10:24 -------- d-----w- c:\program files\QuickTime
2010-04-13 10:22 . 2010-04-13 10:22 -------- d-----w- c:\program files\Bonjour
2010-04-13 10:20 . 2010-04-13 10:20 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.0.79\SetupAdmin.exe
2010-04-10 22:30 . 2010-04-10 22:30 532 ----a-w- c:\windows\eReg.dat
2010-04-10 22:29 . 2010-04-10 22:29 -------- d-----w- c:\program files\Maxis

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-20 23:47 . 2008-07-03 19:45 -------- d-----w- c:\program files\CCleaner
2010-04-20 23:37 . 2008-07-03 19:46 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-04-18 23:14 . 2009-02-14 00:15 -------- d-----w- c:\program files\SUPERAntiSpyware
2010-04-17 00:31 . 2008-08-14 20:43 -------- d-----w- c:\program files\Fichiers communs\DVDVIDEOSOFT
2010-04-16 21:26 . 2010-03-08 00:58 -------- d-----w- c:\documents and settings\Zamboni\Application Data\LimeWire
2010-04-16 21:07 . 2009-02-24 21:15 -------- d-----w- c:\program files\Google
2010-04-13 10:27 . 2008-12-28 12:06 -------- d-----w- c:\program files\iTunes
2010-04-13 10:26 . 2008-12-28 12:05 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-03-23 02:46 . 2010-02-05 21:26 50354 ----a-w- c:\documents and settings\Zamboni\Application Data\Facebook\uninstall.exe
2010-03-23 02:46 . 2010-02-05 21:26 -------- d-----w- c:\documents and settings\Zamboni\Application Data\Facebook
2010-03-15 03:49 . 2010-03-15 03:49 -------- d-----w- c:\program files\Fichiers communs\Java
2010-03-15 03:49 . 2010-03-15 03:49 503808 ----a-w- c:\documents and settings\Zamboni\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-10733cf8-n\msvcp71.dll
2010-03-15 03:49 . 2010-03-15 03:49 499712 ----a-w- c:\documents and settings\Zamboni\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-10733cf8-n\jmc.dll
2010-03-15 03:49 . 2010-03-15 03:49 348160 ----a-w- c:\documents and settings\Zamboni\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-10733cf8-n\msvcr71.dll
2010-03-15 03:49 . 2010-03-15 03:49 61440 ----a-w- c:\documents and settings\Zamboni\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-28a3a294-n\decora-sse.dll
2010-03-15 03:49 . 2010-03-15 03:49 12800 ----a-w- c:\documents and settings\Zamboni\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-28a3a294-n\decora-d3d.dll
2010-03-15 03:49 . 2009-02-16 10:37 -------- d-----w- c:\program files\Java
2010-03-15 03:48 . 2006-03-02 12:00 85608 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-15 03:48 . 2006-03-02 12:00 513410 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-14 16:48 . 2009-11-11 17:56 79488 ----a-w- c:\documents and settings\Zamboni\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-11 12:34 . 2006-03-02 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2009-10-27 15:14 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2006-03-02 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2006-03-02 12:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-03-08 01:03 . 2010-03-08 01:03 -------- d-----w- c:\documents and settings\All Users\Application Data\SiComponents
2010-03-06 05:30 . 2010-03-06 05:30 5582848 ----a-w- c:\documents and settings\Zamboni\Application Data\Facebook\npfbplugin_1_0_3.dll
2010-03-03 20:36 . 2010-02-17 01:14 -------- d-----w- c:\documents and settings\Zamboni\Application Data\FrostWire
2010-02-24 13:11 . 2006-03-02 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-17 01:32 . 2010-02-17 01:32 0 -c--a-w- c:\documents and settings\Zamboni\Application Data\FrostWire\.NetworkShare\Incomplete\T-4506256-LimeWireWin4.16.6.exe
2010-02-16 19:06 . 2006-03-02 12:00 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2004-08-19 16:04 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 14:46 . 2010-02-12 14:46 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-02-12 14:46 . 2010-02-12 14:46 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-02-12 04:34 . 2006-03-02 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2006-03-02 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-09 20:14 . 2008-08-30 20:17 58402 -c--a-w- c:\windows\War3Unin.dat
2010-02-08 01:42 . 2010-02-08 01:42 180224 ----a-w- c:\windows\system32\WinVd32.sys
2010-02-08 01:42 . 2010-02-08 01:42 7680 ----a-w- c:\windows\system32\WinFLsrv.exe
2010-02-01 22:04 . 2010-02-01 22:04 847040 ----a-w- c:\documents and settings\Zamboni\Application Data\Facebook\axfbootloader.dll
2010-02-01 22:04 . 2010-02-01 22:04 5578752 ----a-w- c:\documents and settings\Zamboni\Application Data\Facebook\npfbplugin_1_0_1.dll
2010-01-28 12:19 . 2010-01-24 18:58 21035 ----a-w- c:\windows\system32\drivers\AegisP.sys
2008-11-02 21:06 . 2008-11-02 21:06 89408 -c--a-w- c:\program files\setup spiral frog.exe
2008-09-30 01:36 . 2008-09-30 01:36 5408074 -c--a-w- c:\program files\Last.fm-1.5.2.38918.exe
2008-08-14 19:17 . 2008-08-14 19:17 611424 -c--a-w- c:\program files\setuppad.exe
2008-08-02 05:35 . 2008-08-02 05:35 1283912 -c--a-w- c:\program files\WoW-2.3.0.7561-enUS-downloader.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]
"WeatherEye"="c:\documents and settings\Zamboni\Local Settings\Application Data\TheWeatherNetwork\WeatherEye\WeatherEye.exe" [2009-10-27 718232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VM30xSnap"="VM30xSnap.exe Vimicro USB PC Camera (ZC030x)" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-08-14 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-08-14 114688]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-08-14 94208]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-06 54832]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"Window UDP Control Servic"="winlogon.exe" [2008-04-14 512000]
"SlipStream"="c:\program files\Netscape Accélérateur\slipcore.exe" [2006-04-06 237568]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-03-26 142120]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-02 40368]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Belkin Wireless G Desktop Card Client Utility.lnk - c:\program files\Belkin\F5D7000v7032\Belkinwcui.exe [2010-1-28 1560576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 15:05 356352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-02 18:05 40368 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 18:43 69632 -c----r- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2007-08-23 20:36 455968 ----a-w- c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-04-10 15:28 16126464 -c----r- c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2007-04-04 17:22 1822720 -c----r- c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2008-01-21 15:17 61440 -c--a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AresChatServer"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Documents and Settings\\All Users\\Documents\\Warcraft III\\Warcraft III.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Documents and Settings\\All Users\\Documents\\Warcraft III\\War3.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Ares\\Ares.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-04 111184]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-07-04 20560]
R2 WinFLdrv;WinFLdrv;c:\windows\system32\WinFLdrv.sys [2010-02-07 17984]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2008-07-03 35840]
R3 Belkin700F;Belkin Wireless G Desktop Card Service v7;c:\windows\system32\drivers\BLKWGDv7.sys [2010-01-24 303616]
R3 VM30xx86;Vimicro USB PC Camera (ZC030x);c:\windows\system32\drivers\vm30xx86.sys [2009-02-24 1294336]
S2 gupdate1c996c4f9b01916;Google Update Service (gupdate1c996c4f9b01916);c:\program files\Google\Update\GoogleUpdate.exe [2009-02-24 133104]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
S3 SjyPkt;SjyPkt;\??\c:\windows\System32\Drivers\SjyPkt.sys --> c:\windows\System32\Drivers\SjyPkt.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-08-23 20:34 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2010-04-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 16:34]

2010-04-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-24 21:15]

2010-04-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-24 21:15]

2010-04-21 c:\windows\Tasks\User_Feed_Synchronization-{1976200C-4A2E-4FAC-9D4C-74B0D23C66DA}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 21:36]
0
Réponse 40 / 69
mia928
 
------- Examen supplémentaire -------
.
uStart Page = hxxp://facebook.com/
uInternet Settings,ProxyOverride = *.local
IE: Save YouTube Video - c:\program files\Fichiers communs\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
IE: Save YouTube Video as MP3 - c:\program files\Fichiers communs\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
LSP: c:\progra~1\NETSCA~2\sliplsp.dll
DPF: {D40F5876-A494-4124-8161-82625BB28C06} - hxxp://download.playfirst.com/play/game/chocolatier2/Chocolatier2Web.1.0.0.10.cab
FF - ProfilePath - c:\documents and settings\Zamboni\Application Data\Mozilla\Firefox\Profiles\q7i78nx0.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.facebook.com/
FF - component: c:\documents and settings\Zamboni\Application Data\Mozilla\Firefox\Profiles\q7i78nx0.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - plugin: c:\documents and settings\Zamboni\Application Data\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\documents and settings\Zamboni\Application Data\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\documents and settings\Zamboni\Application Data\Mozilla\Firefox\Profiles\q7i78nx0.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
.
------- Associations de fichier -------
.
.scr=AutoCADLTScriptFile
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-ares vista - c:\documents and settings\Zamboni\Mes documents\Ma musique\Ares Vista\Ares.exe
MSConfigStartUp-InCD - c:\program files\Nero\Nero 7\InCD\InCD.exe
AddRemove-Ad-Remover - c:\ad-remover\Un-ADR.exe
AddRemove-{2AD17134-DA34-41BB-8DFB-364061E6229A}_is1 - c:\documents and settings\Zamboni\Mes documents\Ma musique\Ares Vista\unins000.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-21 17:09
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\windows\system32\sys_drv.dat 6024 bytes
c:\windows\system32\sys_drv_2.dat 5020 bytes
c:\windows\system32\WinFLdrv.sys 17984 bytes executable
c:\documents and settings\Zamboni\Application Data\systemfl.$dk 990 bytes

Scan terminé avec succès
Fichiers cachés: 4

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys >>UNKNOWN [0x8ADE68C8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74cbf28
\Driver\ACPI -> ACPI.sys @ 0xf735dcb8
\Driver\atapi -> atapi.sys @ 0xf7318b3a
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Belkin Wireless G Desktop Card #2 -> SendCompleteHandler -> NDIS.sys @ 0xf7221bb0
PacketIndicateHandler -> NDIS.sys @ 0xf7210a0d
SendHandler -> NDIS.sys @ 0xf7224b40
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-117609710-838170752-839522115-1007\Software\FunWebProducts\Settings\MSNMessenger]
@DACL=(02 0000)
"SessionCount"=dword:00000018
"SessionTimestamp"=dword:00012814

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}\TreatAs]
@DACL=(02 0000)
@="{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C}"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A4730EBE-43A6-443e-9776-36915D323AD3}\TreatAs]
@DACL=(02 0000)
@="{A9571378-68A1-443d-B082-284F960C6D17}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}\ProxyStubClsid]
@DACL=(02 0000)
@="{00020420-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}\ProxyStubClsid32]
@DACL=(02 0000)
@="{00020420-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}\TypeLib]
@DACL=(02 0000)
@="{29D67D3C-509A-4544-903F-C8C1B8236554}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}\ProxyStubClsid]
@DACL=(02 0000)
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}\ProxyStubClsid32]
@DACL=(02 0000)
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}\TypeLib]
@DACL=(02 0000)
@="{E47CAEE0-DEEA-464A-9326-3F2801535A4D}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}\ProxyStubClsid]
@DACL=(02 0000)
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}\ProxyStubClsid32]
@DACL=(02 0000)
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}\TypeLib]
@DACL=(02 0000)
@="{D518921A-4A03-425E-9873-B9A71756821E}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{D518921A-4A03-425E-9873-B9A71756821E}\1.0]
@DACL=(02 0000)
@="HtmldocPlugin 1.0 Type Library"

[HKEY_LOCAL_MACHINE\software\Fun Web Products\MSNMessenger]
@DACL=(02 0000)
"DLLFile"="F3REPROX.DLL"
"DLLDir"="c:\\Program Files\\MyWebSearch\\bar\\2.bin\\"
"MSNBackgrounds"="c:\\Program Files\\Fun Web Products\\MSNMessenger\\MSNBackgrounds\\"

[HKEY_LOCAL_MACHINE\software\Fun Web Products\ScreenSaver]
@DACL=(02 0000)
"ImagesDir"="c:\\Program Files\\FunWebProducts\\ScreenSaver\\Images\\"
"PM"="efkfpetrqjgksgnteltlofgnoiiiiqkngkmimlfhsnfeogokhehfhghhhihjhkhlhmhnifigihiiijik"

[HKEY_LOCAL_MACHINE\software\Fun Web Products\Settings]
@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\FunWebProducts\Installer]
@DACL=(02 0000)
"Dir"="c:\\Program Files\\FunWebProducts\\Installr\\"
"CurInstall"="2"
"sr"="0"
"pl"="12"
"CheckForConnection"="1"
"CacheDir"="c:\\Program Files\\FunWebProducts\\Installr\\Cache\\"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\MyWebSearch\bar]
@DACL=(02 0000)
"UseFWB"="0"
"pid"="ZNxmk571YYCA"
"fwp"="0"
"mwsask"="US|CA|GB"
"tiec"="208976"
"Dir"="c:\\Program Files\\MyWebSearch\\bar\\"
"PluginPath"="c:\\PROGRA~1\\MYWEBS~1\\bar\\2.bin\\"
"UninstallString"="\"c:\\Program Files\\MyWebSearch\\bar\\2.bin\\m3highin.exe\" mwsbar.dll,O"
"Id"="7A02EADE-98E1-48E1-9E38-562B110AAB05"
"CurInstall"="2"
"SettingsDir"="c:\\Program Files\\MyWebSearch\\bar\\Settings\\"
"sr"="0"
"pl"="12"
"CacheDir"="c:\\Program Files\\MyWebSearch\\bar\\Cache\\"
"HTMLMenuRevision"="287"
"sscLabel"="My Web Search"
"sscURL"="http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZNxmk571YYCA&fl=0&ptb=3uoCeuFI4ZgrVjieBasKEQ&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=sb&searchfor={searchTerms}"
"Flags"="8722"
"HistoryDir"="c:\\Program Files\\MyWebSearch\\bar\\History\\"
"AutocompleteURL"="http://srchsugg.funwebproducts.com/query?sstype=prefix&q=<!-- QUERY_INPUT -->"
"ConfigDateStamp"="2009031320"
"ColorButtons"="1"

[HKEY_LOCAL_MACHINE\software\MyWebSearch\SearchAssistant]
@DACL=(02 0000)
"UseFWB"="0"
"pid"="ZNxmk571YYCA"
"fwp"="0"
"mwsask"="US|CA|GB"
"Dir"="c:\\Program Files\\MyWebSearch\\SrchAstt\\"
"esh"="1"
"lsp"=""
"Id"="3707E30C-2194-42E3-B685-9DA23145A9B9"
"CurInstall"="2"
"sr"="0"
"pl"="12"
"ABS"="http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZNxmk571YYCA&fl=0&url=http://search.mywebsearch.com/mywebsearch/GGmain.jhtml&st=kwd&ptnrS=ZNxmk571YYCA&PG=SEASUSH&SEC=ABMANY&ind=2009031407&searchfor="
"DES"="http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZNxmk571YYCA&fl=0&url=http://search.mywebsearch.com/mywebsearch/GGmain.jhtml&st=dns&ptnrS=ZNxmk571YYCA&PG=SEASUSH&SEC=DNS&ind=2009031407&searchfor="
"sscEnabled"="1"
"eintl"="0"
"ConfigDateStamp"="2009031407"

[HKEY_LOCAL_MACHINE\software\MyWebSearch\SkinTools]
@DACL=(02 0000)
"PlayerPath"="\"c:\\Program Files\\MyWebSearch\\bar\\2.bin\\m3SkPlay.exe\""
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(856)
c:\program files\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(912)
c:\progra~1\NETSCA~2\sliplsp.dll
c:\windows\system32\sliprt.dll
.
Heure de fin: 2010-04-21 17:10:57
ComboFix-quarantined-files.txt 2010-04-21 20:10

Avant-CF: 72 154 439 680 octets libres
Après-CF: 72 123 375 616 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptOut

- - End Of File - - 71D3CBA9E583FAAC4042DDBB0F557A0D
0

Discussions similaires

Comment désactiver le mode sécurisé de la Freebox POP.
Cycy -
bazfile -

18 réponses
Probléme Colis Ups
rothen27 -
M@thew -

6 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Freebox pop
Kuza -
CCMBot -

1 réponse
Probleme UPS livraison
luxipi -
dodo -

19 réponses