Sujet Précédent Sujet Suivant

Sdra64.exe svchost.exe

yremia -  
 yremia -
Bonjour !
Plusieurs de mes questions sont restées sans réponses, alors je fais un nouveau post plus precis(voir le titre du sujet).

Apparemment je ne suis pas le seul à m'être fait attaquer par cette s.......e.
Alors rapport HJT

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:21:23, on 26/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\drivers\audio\r205445\stacsv.exe
C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe
C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe
C:\Program Files\Dell\Dell ControlPoint\Connection Manager\SMManager.exe
C:\Program Files\Intel\ASF Agent\ASFAgent.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Dell\Dell ControlPoint\DCPButtonSvc.exe
C:\Program Files\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\WINDOWS\system32\itheaSvc.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WIDCOMM\Bluetooth Software\BtTray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
C:\Program Files\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe
C:\Program Files\Dell\Dell ControlPoint\Security Manager\BcmDeviceAndTaskStatusService.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Wave Systems Corp\SecureUpgrade.exe
C:\Program Files\RAPTOR-GAMING\RAPTOR-GAMING LM1\Panel.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Program Files\Dell\Dell ControlPoint\Dell.ControlPoint.exe
C:\Program Files\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Program Files\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\Dell\Dell ControlPoint\System Manager\DCPSysMgr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\DellTPad\Apntex.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\FIT\Bureau\AntivirusPC\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=dell.msn.com&OCID=DELLDHP&pc=MDDS
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=dell.msn.com&OCID=DELLDHP&pc=MDDS
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy:8080/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - (no file)
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WavXMgr] C:\Program Files\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe
O4 - HKLM\..\Run: [USCService] C:\Program Files\Dell\Dell ControlPoint\Security Manager\BcmDeviceAndTaskStatusService.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SecureUpgrade] "C:\Program Files\Wave Systems Corp\SecureUpgrade.exe"
O4 - HKLM\..\Run: [RAPTOR-GAMING LM1] "C:\Program Files\RAPTOR-GAMING\RAPTOR-GAMING LM1\Panel.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [EmbassySecurityCheck] "C:\Program Files\Wave Systems Corp\EMBASSY Security Setup\EMBASSYSecurityCheck.exe"
O4 - HKLM\..\Run: [DellControlPoint] "C:\Program Files\Dell\Dell ControlPoint\Dell.ControlPoint.exe"
O4 - HKLM\..\Run: [DellConnectionManager] "C:\Program Files\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe"
O4 - HKLM\..\Run: [ChangeTPMAuth] C:\Program Files\Wave Systems Corp\Common\ChangeTPMAuth.exe /T:NTRU12
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [AESTFltr] %SystemRoot%\system32\AESTFltr.exe /NoDlg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: Dell ControlPoint System Manager.lnk = C:\Program Files\Dell\Dell ControlPoint\System Manager\DCPSysMgr.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Send To Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll (file missing)
O22 - SharedTaskScheduler: kjsfi8sjefiuoshiefyhiusdhfdf - {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - (no file)
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Program Files\Intel\ASF Agent\ASFAgent.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Dell ControlPoint Button Service (buttonsvc32) - Dell Inc. - C:\Program Files\Dell\Dell ControlPoint\DCPButtonSvc.exe
O23 - Service: Credential Vault Host Control Service - Broadcom Corporation - C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe
O23 - Service: Credential Vault Host Storage - Broadcom Corporation - C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe
O23 - Service: Dell ControlPoint System Manager (dcpsysmgrsvc) - Dell Inc. - C:\Program Files\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: Service Google Update (gupdate1c9fbdff9a2e1d0) (gupdate1c9fbdff9a2e1d0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: IDL DicomEx Storage SCP - Intel Corporation - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service Ithea (itheaService) - ACTiKEY - C:\WINDOWS\system32\itheaSvc.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: SecureStorageService - Wave Systems Corp. - C:\Program Files\Wave Systems Corp\Secure Storage Manager\SecureStorageService.exe
O23 - Service: Smith Micro Connection Manager Service (SMManager) - Smith Micro Software, Inc. - C:\Program Files\Dell\Dell ControlPoint\Connection Manager\SMManager.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\drivers\audio\r205445\stacsv.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: NTRU TSS v1.2.1.29 TCS (tcsd_win32.exe) - Unknown owner - C:\Program Files\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
O23 - Service: TdmService - Wave Systems Corp. - C:\Program Files\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
A voir également:

23 réponses

  • 1
  • 2
Réponse 1 / 23
Utilisateur anonyme
 
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

/!\ Désactive tous tes logiciels de protection /!\

* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix
0
Réponse 2 / 23
yremia
 
L'ordi à redemarer combofix c'est lancé, j'ai accépter d'installer la console de récup. , il a lancé un téléchargement (vers un site de microsoft, je crois...) qui semble rester bloqué.
Il faut dire que je suis connécté derrière un proxy d'entreprise...

Je peut peut-être zapper l'instal de la console de récup. ??
0
Réponse 3 / 23
Utilisateur anonyme
 
* Télécharge et installe : Malwarebytes AntiMalware
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
0
Réponse 4 / 23
yremia
 
Finalement j'ai installer manuellement la console de récup. comme dans le lien que tu m'as donné(qui est mort d'ailleur...).

Aprés le redémarage et avant le scan j'ai eu un message du genre "windows a recupéré une erreur sérieuse...."
Combofix ne semble pas apprécié la presence de "deamon tools" (émulateur de lecteur cd).

Le rapport HJT ne semble plus rien trouvé de néfaste...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 23
yremia
 
Voici le rapport combofix 1ére partie :

ComboFix 10-04-21.01 - FIT 26/04/2010 13:31:23.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2036.1378 [GMT 2:00]
Lancé depuis: c:\documents and settings\FIT\Bureau\AntivirusPC\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\FIT\Bureau\AntivirusPC\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\FIT\Application Data\AD ON Multimedia
c:\documents and settings\FIT\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe
c:\documents and settings\FIT\Application Data\Desktopicon
c:\documents and settings\FIT\Application Data\Desktopicon\eBayShortcuts.exe
c:\documents and settings\FIT\Application Data\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk
c:\program files\AskSearch\bin\DefaultSearch.dll
c:\windows\nt32200ax2R2.dll
c:\windows\system32\Hook.dll
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
c:\windows\system32\ntcheck3232bxR2.dll

Une copie infectée de c:\windows\system32\drivers\cdrom.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-26 au 2010-04-26 ))))))))))))))))))))))))))))))))))))
.

2010-04-26 10:35 . 2010-04-26 11:13 -------- d-----w- c:\program files\SeaMonkey
2010-04-23 07:29 . 2010-04-23 07:29 242696 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgtdix.sys
2010-04-23 07:27 . 2010-04-23 07:27 1689952 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgupd.dll
2010-04-22 22:38 . 2010-04-22 22:39 -------- d-----w- C:\SystemARX
2010-04-22 20:41 . 2010-04-22 22:28 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-04-22 20:41 . 2010-04-22 22:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-21 22:08 . 2010-04-15 18:06 311296 ----a-w- c:\windows\system32\TubeFinder.exe
2010-04-21 22:08 . 2010-04-21 22:11 -------- d-----w- c:\documents and settings\FIT\Application Data\FreeFLVConverter
2010-04-21 22:08 . 2009-06-19 17:51 9728 ----a-w- c:\windows\system32\PCCLPFR.DLL
2010-04-21 21:26 . 2010-04-21 21:26 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2010-04-21 11:52 . 2010-04-21 11:52 333192 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgldx86.sys
2010-04-21 11:52 . 2010-04-21 11:52 28424 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgmfx86.sys
2010-04-21 11:52 . 2010-04-21 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-04-21 11:46 . 2010-04-21 09:45 877848 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgupd.exe
2010-04-21 11:46 . 2010-04-21 09:45 798488 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avginet.dll
2010-04-21 11:46 . 2010-04-21 09:45 613656 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgiproxy.exe
2010-04-21 09:48 . 2009-10-16 10:12 1119488 ----a-w- c:\documents and settings\All Users\Application Data\AVG Security Toolbar\IEToolbar.dll
2010-04-21 09:45 . 2010-04-21 11:53 -------- d-----w- C:\$AVG
2010-04-21 09:45 . 2010-04-23 07:29 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-04-21 09:45 . 2010-04-21 11:51 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-04-21 09:45 . 2010-04-21 11:52 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-04-21 09:45 . 2010-04-25 20:54 -------- d-----w- c:\windows\system32\drivers\Avg
2010-04-21 09:45 . 2010-04-22 21:35 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG Security Toolbar
2010-04-21 09:45 . 2010-04-22 16:56 -------- d-----w- c:\documents and settings\All Users\Application Data\avg9
2010-04-20 21:18 . 2010-04-20 21:18 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2010-04-20 20:36 . 2010-04-20 20:36 -------- d-----w- c:\documents and settings\FIT\Local Settings\Application Data\Opera
2010-04-20 20:36 . 2010-04-20 21:11 -------- d-----w- c:\program files\Opera
2010-04-20 20:18 . 2010-04-20 20:18 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-04-16 10:33 . 2010-04-19 18:33 73216 ----a-w- c:\windows\ST6UNST.EXE
2010-04-16 10:33 . 2010-04-19 18:33 286720 ------w- c:\windows\Setup1.exe
2010-04-12 12:57 . 2010-04-12 12:57 0 ----a-w- c:\windows\nsreg.dat
2010-04-12 12:56 . 2010-04-26 10:35 -------- d-----w- c:\documents and settings\FIT\Local Settings\Application Data\Mozilla
2010-04-08 12:10 . 2010-04-08 12:10 -------- d-----w- c:\documents and settings\All Users\Application Data\DellUCM
2010-03-30 06:33 . 2009-07-21 16:52 85 ----a-w- C:\A63_asimeon.bat
2010-03-28 19:37 . 2010-03-29 12:41 -------- d-----w- c:\documents and settings\All Users\Application Data\EPSON
2010-03-28 19:37 . 2006-12-08 02:04 76800 ----a-w- c:\windows\system32\E_FLBCDE.DLL
2010-03-28 19:37 . 2006-04-19 02:00 62976 ----a-w- c:\windows\system32\E_FD4BCDE.DLL
2010-03-28 19:37 . 2004-09-10 20:12 49152 ----a-w- c:\windows\system32\E_DCINST.DLL
2010-03-28 19:37 . 2008-04-13 09:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-03-28 19:37 . 2008-04-13 09:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-03-28 19:34 . 2008-04-13 09:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2010-03-28 19:34 . 2008-04-13 09:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2010-03-27 17:15 . 2010-03-27 17:15 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-26 11:30 . 2009-04-07 13:09 27649 ----a-w- c:\windows\system32\nvModes.dat
2010-04-26 11:30 . 2009-04-16 09:39 0 ----a-w- c:\documents and settings\FIT\Local Settings\Application Data\WavXMapDrive.bat
2010-04-21 11:04 . 2009-04-07 13:58 54336 ----a-w- c:\documents and settings\NetworkService\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-21 11:04 . 2009-04-07 13:37 54336 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-21 09:45 . 2009-06-11 10:11 -------- d-----w- c:\program files\AVG
2010-04-19 08:46 . 2009-07-03 13:11 -------- d-----w- c:\program files\Google
2010-04-12 11:26 . 2009-04-07 13:36 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2010-04-12 08:50 . 2009-04-07 13:22 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-01 15:09 . 2009-12-08 08:43 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-04-01 10:42 . 2009-10-29 14:43 -------- d-----w- c:\program files\SUPER
2010-03-27 19:19 . 2009-08-18 21:16 -------- d-----w- c:\documents and settings\FIT\Application Data\uTorrent
2010-03-23 20:19 . 2010-03-23 20:19 -------- d-----w- c:\program files\Sun
2010-03-22 23:39 . 2010-03-22 18:26 165232 ---ha-w- c:\documents and settings\FIT\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll
2010-03-18 08:06 . 2010-03-18 08:06 -------- d-----w- c:\program files\FolderSize
2010-03-14 18:00 . 2009-12-08 08:43 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2010-03-10 21:40 . 2010-03-10 21:40 -------- d-----w- c:\program files\AviSynth 2.5
2010-03-08 12:44 . 2010-03-08 12:44 -------- d-----w- c:\documents and settings\FIT\Application Data\JonDo
2010-03-08 10:51 . 2009-06-25 19:28 -------- d-----w- c:\documents and settings\FIT\Application Data\dvdcss
2010-03-08 08:11 . 2010-03-03 10:38 -------- d-----w- c:\documents and settings\FIT\Application Data\Audacity
2010-03-03 10:43 . 2010-03-03 10:38 -------- d-----w- c:\program files\Audacity 1.3 Beta (Unicode)
2010-03-02 17:50 . 2010-03-02 17:50 -------- d-----w- c:\program files\DVD Decrypter
2010-02-12 19:34 . 2010-03-23 08:52 31824 ----a-w- c:\windows\system32\drivers\VBoxUSB.sys
2010-02-12 19:34 . 2010-03-22 14:18 123280 ----a-w- c:\windows\system32\drivers\VBoxDrv.sys
2010-02-12 19:34 . 2010-03-22 14:18 41680 ----a-w- c:\windows\system32\drivers\VBoxUSBMon.sys
2010-02-12 19:34 . 2010-02-12 19:34 99152 ----a-w- c:\windows\system32\drivers\VBoxNetAdp.sys
2010-02-12 19:34 . 2010-02-12 19:34 110096 ----a-w- c:\windows\system32\drivers\VBoxNetFlt.sys
2010-02-12 19:34 . 2010-02-12 19:34 133648 ----a-w- c:\windows\system32\VBoxNetFltNotify.dll
2010-02-12 07:42 . 2008-04-25 12:46 95886 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-12 07:42 . 2008-04-25 12:46 538202 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-10 17:13 . 2009-12-08 08:43 165376 ----a-w- c:\windows\system32\unrar.dll
2010-01-29 09:05 . 2010-01-29 09:05 2368 ----a-w- c:\windows\system32\SVKP.sys
2006-05-03 09:06 . 2009-10-29 14:43 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-10-29 14:43 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-10-29 14:43 216064 --sh--r- c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-10-16 1119488]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2009-10-16 10:12 1119488 ----a-w- c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-10-16 1119488]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-10-16 1119488]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EnabledUnlockedFDEIconOverlay]
@="{30D3C2AF-9709-4D05-9CF4-13335F3C1E4A}"
[HKEY_CLASSES_ROOT\CLSID\{30D3C2AF-9709-4D05-9CF4-13335F3C1E4A}]
2009-01-14 09:24 40960 ----a-w- c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UninitializedFdeIconOverlay]
@="{CF08DA3E-C97D-4891-A66B-E39B28DD270F}"
[HKEY_CLASSES_ROOT\CLSID\{CF08DA3E-C97D-4891-A66B-E39B28DD270F}]
2009-01-14 09:24 40960 ----a-w- c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-03 39408]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-07 13537280]
"WavXMgr"="c:\program files\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe" [2008-12-22 145408]
"USCService"="c:\program files\Dell\Dell ControlPoint\Security Manager\BcmDeviceAndTaskStatusService.exe" [2009-01-16 15360]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"SecureUpgrade"="c:\program files\Wave Systems Corp\SecureUpgrade.exe" [2009-01-16 656696]
"RAPTOR-GAMING LM1"="c:\program files\RAPTOR-GAMING\RAPTOR-GAMING LM1\Panel.exe" [2007-09-13 745056]
"nwiz"="nwiz.exe" [2008-08-07 1630208]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-12-04 186904]
"EmbassySecurityCheck"="c:\program files\Wave Systems Corp\EMBASSY Security Setup\EMBASSYSecurityCheck.exe" [2009-01-16 95544]
"DellControlPoint"="c:\program files\Dell\Dell ControlPoint\Dell.ControlPoint.exe" [2009-01-19 667648]
"DellConnectionManager"="c:\program files\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe" [2009-03-01 1810432]
"ChangeTPMAuth"="c:\program files\Wave Systems Corp\Common\ChangeTPMAuth.exe" [2008-12-19 184320]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-10-28 200704]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2008-12-01 471040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-8-15 604776]
Dell ControlPoint System Manager.lnk - c:\program files\Dell\Dell ControlPoint\System Manager\DCPSysMgr.exe [2009-2-6 1095456]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-04-21 11:52 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 wvauth

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^FIT^Menu Démarrer^Programmes^Démarrage^Antimalware Doctor.lnk]
path=c:\documents and settings\FIT\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MzRamBooster

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 07:34 1695232 ----a-w- c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVHotkey]
2008-08-07 22:05 90112 ----a-w- c:\windows\system32\nvhotkey.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2008-08-07 22:05 86016 ----a-w- c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVDDXSrv]
2008-05-23 13:06 128296 ------w- c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2009-11-09 14:09 289584 ----a-w- c:\program files\uTorrent\uTorrent.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
0
Réponse 6 / 23
yremia
 
2éme partie :

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [21/04/2010 11:45 216200]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [21/04/2010 11:45 242896]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [22/03/2010 16:18 123280]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [22/03/2010 16:18 41680]
R2 ASFAgent;ASF Agent;c:\program files\Intel\ASF Agent\ASFAgent.exe [19/04/2007 06:56 133968]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [21/04/2010 13:51 308064]
R2 buttonsvc32;Dell ControlPoint Button Service;c:\program files\Dell\Dell ControlPoint\DCPButtonSvc.exe [29/12/2008 12:07 320800]
R2 Credential Vault Host Control Service;Credential Vault Host Control Service;c:\program files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe [22/01/2009 11:19 808296]
R2 Credential Vault Host Storage;Credential Vault Host Storage;c:\program files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe [22/01/2009 11:19 20840]
R2 dcpsysmgrsvc;Dell ControlPoint System Manager;c:\program files\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe [06/02/2009 21:06 443168]
R2 itheaService;Service Ithea;c:\windows\system32\itheaSvc.EXE [23/07/2009 12:46 655688]
R2 SMManager;Smith Micro Connection Manager Service;c:\program files\Dell\Dell ControlPoint\Connection Manager\SMManager.exe [01/03/2009 19:09 77824]
R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [29/01/2010 11:05 2368]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [08/04/2009 00:01 112128]
R3 cvusbdrv;Broadcom USH CV;c:\windows\system32\drivers\cvusbdrv.sys [08/04/2009 00:01 32808]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [08/04/2009 00:01 244368]
R3 ITHEA;Actikey(R) Ithea USB Driver;c:\windows\system32\drivers\ithea.sys [04/01/2010 13:00 16960]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [12/02/2010 21:34 99152]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [12/02/2010 21:34 110096]
S0 cfadisk;CompactFlash Filter Driver;c:\windows\system32\DRIVERS\cfadisk.sys --> c:\windows\system32\DRIVERS\cfadisk.sys [?]
S0 uotspxfw;uotspxfw; [x]
S2 bfmqbguh;Installer Task;c:\windows\system32\svchost.exe -k netsvcs [25/04/2008 14:46 14336]
S2 criik;Task Universal;c:\windows\system32\svchost.exe -k netsvcs [25/04/2008 14:46 14336]
S2 ddirw;Driver Monitor;c:\windows\system32\svchost.exe -k netsvcs [25/04/2008 14:46 14336]
S2 ehorh;Driver Manager;c:\windows\system32\svchost.exe -k netsvcs [25/04/2008 14:46 14336]
S2 gupdate1c9fbdff9a2e1d0;Service Google Update (gupdate1c9fbdff9a2e1d0);c:\program files\Google\Update\GoogleUpdate.exe [03/07/2009 15:12 133104]
S2 irntxn;Support Manager;c:\windows\system32\svchost.exe -k netsvcs [25/04/2008 14:46 14336]
S2 jnqmp;epanzvsb;c:\windows\system32\svchost.exe -k netsvcs [25/04/2008 14:46 14336]
S2 mhhekfsx;gwnjj;c:\windows\system32\svchost.exe -k netsvcs [25/04/2008 14:46 14336]
S2 pnvpk;Boot Microsoft;c:\windows\system32\svchost.exe -k netsvcs [25/04/2008 14:46 14336]
S2 qtthnd;Config Helper;c:\windows\system32\svchost.exe -k netsvcs [25/04/2008 14:46 14336]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [27/08/2009 15:57 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [27/08/2009 15:57 51968]
S3 IDL DicomEx Storage SCP;IDL DicomEx Storage SCP; [x]
S3 memcard;Pilote de cartes de mémoire PCMCIA;c:\windows\system32\drivers\memcard.sys [14/09/2009 18:37 8320]
S3 NvtSp50;NvtSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\NvtSp50.sys --> c:\windows\system32\Drivers\NvtSp50.sys [?]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [23/06/2009 09:05 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [23/06/2009 09:05 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [23/06/2009 09:05 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [23/06/2009 09:06 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [23/06/2009 09:06 98568]
S3 VBoxUSB;VirtualBox USB;c:\windows\system32\drivers\VBoxUSB.sys [23/03/2010 10:52 31824]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30/04/2009 20:25 717296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
criik
irntxn
mhhekfsx
jnqmp
ddirw
ehorh
qtthnd
pnvpk
.
Contenu du dossier 'Tâches planifiées'

2010-04-26 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-03 13:11]

2010-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-03 13:12]

2010-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-03 13:12]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
.
.
------- Associations de fichier -------
.
.scr=AutoCADScriptFile
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{A2BA40A0-74F1-52BD-F411-00B15A2C8953} - (no file)
SharedTaskScheduler-{A2BA40A0-74F1-52BD-F411-00B15A2C8953} - (no file)
AddRemove-HijackThis - c:\documents and settings\FIT\Bureau\HijackThis.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-26 13:35
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bfmqbguh]
"ServiceDll"="c:\program files\Movie Maker\gylsrh.dll"
0
Réponse 7 / 23
yremia
 
Un petit UP pour voir si tout est OK
0
Réponse 8 / 23
Utilisateur anonyme
 
1/
* Télécharge Defogger et lance le
* Une fenêtre apparait clique sur "Disable"
* Redémarre le PC si demandé

2/

/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi ICI , et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
* Héberge le rapport sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
---------------

0
Réponse 9 / 23
yremia
 
Galère, galère, il me dit infection rootkit......

voici le log :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijfak3Wrd.txt

Merci !
0
Réponse 10 / 23
Utilisateur anonyme
 
Oh vin dieux!!!

* Télécharge The Avenger (Swandog46) => http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* dezippe le , Lance le , (clic-droit> exécuter en tant qu'administrateur sous vista/Seven)
Copie la liste en gras ci-dessous et colle la dans le cadre sous Input Script et clic exécute:

~~~~

Drivers to delete:
bfmqbguh
criik ehorh
ddirw
irntxn
jnqmp
mhhekfsx
pnvpk
qtthnd

Files to delete:
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe

~~~~

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine réponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
0
Réponse 11 / 23
yremia
 
Pourquoi, c'est grave docteur ???

Merci beaucoup en tout c'est gigacool !!!!
0
Utilisateur anonyme
 
Un rootkit c'est toujours sans dommage.
Tu devras changer tout tes mots de passes et surtout evites de payer avec ta carte bleu j'usqu'a la fin de la désinfection.;)
0
Réponse 12 / 23
yremia
 
Je paye rarement sur le net, même si mon ordi était désinfecté, je crois que je ferais mes paiement depuis un live de linux ou avec une machine virtuelle (est-ce que cela est une bonne idée d'ailleurs ???)

Voici le résultat (on dirait que svchost.exe rime avec "ghost"...) :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "bfmqbguh" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\criik ehorh" not found!
Deletion of driver "criik ehorh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "ddirw" deleted successfully.
Driver "irntxn" deleted successfully.
Driver "jnqmp" deleted successfully.
Driver "mhhekfsx" deleted successfully.
Driver "pnvpk" deleted successfully.
Driver "qtthnd" deleted successfully.

Error: file "C:\WINDOWS\system32\svchost.exe" is whitelisted
Deletion of file "C:\WINDOWS\system32\svchost.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Error: file "C:\WINDOWS\system32\svchost.exe" is whitelisted
Deletion of file "C:\WINDOWS\system32\svchost.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Error: file "C:\WINDOWS\system32\svchost.exe" is whitelisted
Deletion of file "C:\WINDOWS\system32\svchost.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Error: file "C:\WINDOWS\system32\svchost.exe" is whitelisted
Deletion of file "C:\WINDOWS\system32\svchost.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Error: file "C:\WINDOWS\system32\svchost.exe" is whitelisted
Deletion of file "C:\WINDOWS\system32\svchost.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Error: file "C:\WINDOWS\system32\svchost.exe" is whitelisted
Deletion of file "C:\WINDOWS\system32\svchost.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Error: file "C:\WINDOWS\system32\svchost.exe" is whitelisted
Deletion of file "C:\WINDOWS\system32\svchost.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Error: file "C:\WINDOWS\system32\svchost.exe" is whitelisted
Deletion of file "C:\WINDOWS\system32\svchost.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Error: file "C:\WINDOWS\system32\svchost.exe" is whitelisted
Deletion of file "C:\WINDOWS\system32\svchost.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Completed script processing.

*******************

Finished! Terminate.

Merci encore pour tout, d'ailleurs quelles sont les ligne du log de Gmer qui t'on fais dire que ces driver était infecté???(simple curiosité)

Et d'ailleurs y a t'il d'autre logiciels comme combofix usbfix toolbarSD ou HJT qui peuvent éradiquer les virus, et dans quelle mesure peut-on les utiliser sans risque ???
0
Réponse 13 / 23
Utilisateur anonyme
 
tu relances Gmer mais cette fois tu décoches
iat/eat
threads
librairie
Post le rapport.

Sur le rapport gmer c'est la partie services qui ma permis de voir le rootkit.
Les logiciels de desinfection ne doivent etre utiliser seulement si une personne compétente dans le domaine de la désinfection te le demande.(Surtout combofix)
0
Réponse 14 / 23
yremia
 
Ok ça roule.
Je suppose que je dois coché "files"(c'est plutôt long avec "files" alors je le ferais sans doute ce soir...).
Le log de HJT peut être scanné automatiquement en ligne par plusieurs sîtes qui évaluent lles risques (on peut alors comparer les résultat...).Il y a d'autres utilitaires qui ont cette option ? Quel sont les moins risqué à utilisé ?
0
Réponse 15 / 23
Utilisateur anonyme
 
faut faire attention avec ce type de site qui analyse ton logs.
La plupart sont obsolétes car plus de mise ajour depuis des lustres.

Tu peux decocher "files" ;)
0
Réponse 16 / 23
yremia
 
Il est lourd ce Gmer, après l'avoir arrêté mon ordi mouline à mort , puis plante et pour l'éteindre je dois appuyer sur on\off...

Voici le nouveau log :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijQofWUsr.txt

Toujours merci !!
0
Réponse 17 / 23
Utilisateur anonyme
 
Deux drivers sont encore présent on refait The Avenger

Copie la liste en gras ci-dessous et colle la dans le cadre sous Input Script et clic exécute:

~~~~

Drivers to delete:
criik
ehorh

~~~~

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine réponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
0
Réponse 18 / 23
yremia
 
On va y arrivé !!!

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "criik" deleted successfully.
Driver "ehorh" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
0
Réponse 19 / 23
Utilisateur anonyme
 
Hello ,

C est une infection conficker ...

Il faut virer les dll associéés ainsi que supprimer les services du groupe NetSvc .

Avec un Script combo ça sera + simple ::

Driver::
bfmqbguh
criik
ddirw
ehorh
irntxn
jnqmp
mhhekfsx
mhhekfsx
pnvpk
qtthnd

File::
c:\program files\Movie Maker\gylsrh.dll
c:\windows\system32\gylsrh.dll
c:\program files\Internet Explorer\gylsrh.dll
c:\windows\system32\oevuuhrf.dll

NetSvc::
criik
irntxn
mhhekfsx
jnqmp
ddirw
ehorh
qtthnd
pnvpk

Bonne suite @ tous les 2 .
0
Réponse 20 / 23
yremia
 
Un log de Gmer, il trouve rien on dirais...

http://www.cijoint.fr/cjlink.php?file=cj201004/cijz8HhwcE.txt

Et un HJT pour la route...

http://www.cijoint.fr/cjlink.php?file=cj201004/cijrLgWwUn.txt

A plus.
0

Discussions similaires

ou telecharger sndrec32.exe svp ?
Soundman -
Micra -

2 réponses
un lien pour telecharger sndrec32.exe
layesanga -
wartib -

2 réponses