Infection vundo, etc... qui revient toujours
bobbybrown
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut a tous,
j'ai sur mon ordi un virus un peu chiant qui squatte mozilla et qui ouvre des pages entre autres. J'ai passé mbam plusieurs fois en examen complet et meme en mode sans echec mais le truc a l'air de revenir a chaque fois, est- ce que quelqu'un aurait la gentillesse de m'aider?
Voila mon rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:36:03, on 03/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
O2 - BHO: (no name) - {0DF3BE49-25BB-4D80-9DDD-11E0A0F9F05c} - C:\WINDOWS\system32\rbwmmqrx.dll
O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\Neuf\Kit\SFRNavErrorHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {EF8EDE6A-0721-4F9F-922D-745320E4B0FE} - c:\windows\system32\sywosto.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
j'ai sur mon ordi un virus un peu chiant qui squatte mozilla et qui ouvre des pages entre autres. J'ai passé mbam plusieurs fois en examen complet et meme en mode sans echec mais le truc a l'air de revenir a chaque fois, est- ce que quelqu'un aurait la gentillesse de m'aider?
Voila mon rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:36:03, on 03/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
O2 - BHO: (no name) - {0DF3BE49-25BB-4D80-9DDD-11E0A0F9F05c} - C:\WINDOWS\system32\rbwmmqrx.dll
O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\Neuf\Kit\SFRNavErrorHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {EF8EDE6A-0721-4F9F-922D-745320E4B0FE} - c:\windows\system32\sywosto.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
A voir également:
- Infection vundo, etc... qui revient toujours
- L'image de ma tele se coupe et revient samsung - Forum TV & Vidéo
- TV : image qui disparait ! ✓ - Forum TV & Vidéo
- Moteur de recherche yahoo revient toujours ✓ - Forum Google Chrome
- Yahoo a pris pouvoir de Google comme de Firefoxe - Forum Virus
- Télé qui coupe au bout de 30mn - Forum TNT / Satellite / Réception
78 réponses
Salut Gen Hackman,
J'ai essayé de me faire dépanner dans la section drivers, mais impossible de refaire marcher internet.
J'ai refait un scan DrWeb aujourd'hui et il me trouve un trojan "Zyhhdehj.sys" dans system32/drivers. Je me disais donc que mon probleme est peut etre finalement du au virus???
Qu'en penses-tu?
J'ai essayé de me faire dépanner dans la section drivers, mais impossible de refaire marcher internet.
J'ai refait un scan DrWeb aujourd'hui et il me trouve un trojan "Zyhhdehj.sys" dans system32/drivers. Je me disais donc que mon probleme est peut etre finalement du au virus???
Qu'en penses-tu?
Salut,
Désolé, je suis Bobbybrown, mais j'ai pas fait gaffe, j'ai pas remis le meme pseudo.
Donc finalement, j'ai réussi a remettre internet avec une reparation systeme,
voila ce que dit le dernier scan Dr web, mais j'ai bien l'impression qu'il n'arrive pas a me débarasser du probleme, vu qu'a chaque scan j'ai a peu près la meme chose.
-----------------------------------------------------------------------------
Statistiques d'analyse
-----------------------------------------------------------------------------
Objets scannés: 156043
Objets infectés: 1
Objets ayant été modifiés: 0
Objets suspects: 0
Adwares détectés: 0
Dialers détectés: 0
Canulars détectés: 0
Riskwares détectés: 2
Hacktools détectés: 4
Désinfecté: 0
Supprimé: 0
Renommé: 0
Déplacé en quarantaine: 3
Ignoré: 0
Vitesse du scan: 207 Kb/s
Durée d'analyse: 04:18:52
-----------------------------------------------------------------------------
C:\Program Files\List_Kill'em\Proc_end.exe - irréparable - déplacé en quarantaine
C:\Program Files\List_Kill'em\Prt.exe - irréparable - déplacé en quarantaine
C:\System Volume Information\_restore{6D00E212-1CC6-4D49-B555-80991DD95995}\RP1\A0000002.exe - irréparable - déplacé en quarantaine
=============================================================================
Statistiques totales de la session
=============================================================================
Objets scannés: 165537
Objets infectés: 4
Objets ayant été modifiés: 0
Objets suspects: 0
Adwares détectés: 0
Dialers détectés: 0
Canulars détectés: 0
Riskwares détectés: 2
Hacktools détectés: 4
Désinfecté: 0
Supprimé: 0
Renommé: 0
Déplacé en quarantaine: 6
Ignoré: 0
Vitesse du scan: 33 Kb/s
Durée d'analyse: 04:40:06
=============================================================================
Désolé, je suis Bobbybrown, mais j'ai pas fait gaffe, j'ai pas remis le meme pseudo.
Donc finalement, j'ai réussi a remettre internet avec une reparation systeme,
voila ce que dit le dernier scan Dr web, mais j'ai bien l'impression qu'il n'arrive pas a me débarasser du probleme, vu qu'a chaque scan j'ai a peu près la meme chose.
-----------------------------------------------------------------------------
Statistiques d'analyse
-----------------------------------------------------------------------------
Objets scannés: 156043
Objets infectés: 1
Objets ayant été modifiés: 0
Objets suspects: 0
Adwares détectés: 0
Dialers détectés: 0
Canulars détectés: 0
Riskwares détectés: 2
Hacktools détectés: 4
Désinfecté: 0
Supprimé: 0
Renommé: 0
Déplacé en quarantaine: 3
Ignoré: 0
Vitesse du scan: 207 Kb/s
Durée d'analyse: 04:18:52
-----------------------------------------------------------------------------
C:\Program Files\List_Kill'em\Proc_end.exe - irréparable - déplacé en quarantaine
C:\Program Files\List_Kill'em\Prt.exe - irréparable - déplacé en quarantaine
C:\System Volume Information\_restore{6D00E212-1CC6-4D49-B555-80991DD95995}\RP1\A0000002.exe - irréparable - déplacé en quarantaine
=============================================================================
Statistiques totales de la session
=============================================================================
Objets scannés: 165537
Objets infectés: 4
Objets ayant été modifiés: 0
Objets suspects: 0
Adwares détectés: 0
Dialers détectés: 0
Canulars détectés: 0
Riskwares détectés: 2
Hacktools détectés: 4
Désinfecté: 0
Supprimé: 0
Renommé: 0
Déplacé en quarantaine: 6
Ignoré: 0
Vitesse du scan: 33 Kb/s
Durée d'analyse: 04:40:06
=============================================================================
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
OK, je vais faire un autre post alors,
a l'analyse dr web je ne vois plus de vundo mais un truc qui s'apelle
BackDoor.Tdss.565 en particulier, et aussi Trojan.NtRootKit.1652 et Trojan.MulDrop1.19739
ça a pas l'air bien sympa...
a l'analyse dr web je ne vois plus de vundo mais un truc qui s'apelle
BackDoor.Tdss.565 en particulier, et aussi Trojan.NtRootKit.1652 et Trojan.MulDrop1.19739
ça a pas l'air bien sympa...
Voila :
[Test de la mémoire] Processus en mémoire: C:\WINDOWS\system32\svchost.exe:536 infecté par BackDoor.Tdss.565 - éradiqué
il dit éradiqué mais il revient a chaque démarrage...
C:\WINDOWS\system32\hhhoivt.dll infecté par Trojan.MulDrop1.19739 - supprimé
C:\WINDOWS\temp\mbdw.tmp\svchost.exe infecté par Trojan.MulDrop1.19540 - supprimé
C:\WINDOWS\system32\drivers\zyhhdehj.sys infecté par Trojan.NtRootKit.1652 - sera désinfecté après redémarrage de l'ordinateur
Mais je crois pas qu'il le désinfecte en vrai
[Test de la mémoire] Processus en mémoire: C:\WINDOWS\system32\svchost.exe:536 infecté par BackDoor.Tdss.565 - éradiqué
il dit éradiqué mais il revient a chaque démarrage...
C:\WINDOWS\system32\hhhoivt.dll infecté par Trojan.MulDrop1.19739 - supprimé
C:\WINDOWS\temp\mbdw.tmp\svchost.exe infecté par Trojan.MulDrop1.19540 - supprimé
C:\WINDOWS\system32\drivers\zyhhdehj.sys infecté par Trojan.NtRootKit.1652 - sera désinfecté après redémarrage de l'ordinateur
Mais je crois pas qu'il le désinfecte en vrai
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4121
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
21/05/2010 01:08:06
mbam-log-2010-05-21 (01-08-06).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 147109
Temps écoulé: 26 minute(s), 52 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0df3be49-25bb-4d80-9ddd-11e0a0f9f05c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0df3be49-25bb-4d80-9ddd-11e0a0f9f05c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.Tracur) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
www.malwarebytes.org
Version de la base de données: 4121
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
21/05/2010 01:08:06
mbam-log-2010-05-21 (01-08-06).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 147109
Temps écoulé: 26 minute(s), 52 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0df3be49-25bb-4d80-9ddd-11e0a0f9f05c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0df3be49-25bb-4d80-9ddd-11e0a0f9f05c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.Tracur) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
hello
/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
ComboFix 10-05-20.A1 - andre 21/05/2010 15:10:29.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.33.1033.18.767.626 [GMT 2:00]
Lancé depuis: c:\documents and settings\andre\Desktop\rogercavallier.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\andre\Application Data\Dossier de téléchargement Share-to-Web
c:\windows\system32\drivers\ylqohusf.sys
c:\windows\system32\drivers\zyhhdehj.sys
c:\windows\system32\fquxnrl.dll
c:\windows\system32\hhhoivt.dll
c:\windows\system32\rbwmmqrx.dll
c:\windows\Tasks\At1.job
Une copie infectée de c:\windows\system32\drivers\intelide.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ZYHHDEHJ
-------\Service_zyhhdehj
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-21 au 2010-05-21 ))))))))))))))))))))))))))))))))))))
.
2010-05-21 07:24 . 2010-05-21 07:24 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-18 15:33 . 2004-08-03 22:56 116224 -c--a-w- c:\windows\system32\dllcache\xrxwiadr.dll
2010-05-18 15:33 . 2001-08-17 20:36 23040 -c--a-w- c:\windows\system32\dllcache\xrxwbtmp.dll
2010-05-18 15:33 . 2001-08-17 20:36 17408 -c--a-w- c:\windows\system32\dllcache\xrxscnui.dll
2010-05-18 15:33 . 2001-08-17 20:37 27648 -c--a-w- c:\windows\system32\dllcache\xrxftplt.exe
2010-05-18 15:33 . 2001-08-17 20:37 4608 -c--a-w- c:\windows\system32\dllcache\xrxflnch.exe
2010-05-18 15:31 . 2001-08-17 20:37 99865 -c--a-w- c:\windows\system32\dllcache\xlog.exe
2010-05-18 15:31 . 2001-08-17 10:11 16970 -c--a-w- c:\windows\system32\dllcache\xem336n5.sys
2010-05-18 15:31 . 2004-08-03 20:29 19455 -c--a-w- c:\windows\system32\dllcache\wvchntxx.sys
2010-05-18 15:31 . 2004-08-03 21:10 19328 -c--a-w- c:\windows\system32\dllcache\wstcodec.sys
2010-05-18 15:31 . 2004-08-03 20:29 12063 -c--a-w- c:\windows\system32\dllcache\wsiintxx.sys
2010-05-18 15:31 . 2004-08-03 22:56 8192 -c--a-w- c:\windows\system32\dllcache\wshirda.dll
2010-05-18 15:29 . 2004-08-03 21:07 8832 -c--a-w- c:\windows\system32\dllcache\wmiacpi.sys
2010-05-18 15:29 . 2004-08-03 20:31 154624 -c--a-w- c:\windows\system32\dllcache\wlluc48.sys
2010-05-18 15:29 . 2001-08-17 10:12 34890 -c--a-w- c:\windows\system32\dllcache\wlandrv2.sys
2010-05-18 15:29 . 2001-08-17 11:28 771581 -c--a-w- c:\windows\system32\dllcache\winacisa.sys
2010-05-18 15:27 . 2001-08-17 10:13 19528 -c--a-w- c:\windows\system32\dllcache\w840nd.sys
2010-05-18 15:27 . 2001-08-17 11:28 64605 -c--a-w- c:\windows\system32\dllcache\vvoice.sys
2010-05-18 15:27 . 2001-08-17 11:28 397502 -c--a-w- c:\windows\system32\dllcache\vpctcom.sys
2010-05-18 15:27 . 2001-08-17 11:28 604253 -c--a-w- c:\windows\system32\dllcache\vmodem.sys
2010-05-18 15:27 . 2001-08-17 10:14 249402 -c--a-w- c:\windows\system32\dllcache\vinwm.sys
2010-05-18 15:27 . 2001-08-17 11:49 24576 -c--a-w- c:\windows\system32\dllcache\viairda.sys
2010-05-18 15:27 . 2004-08-03 21:07 42240 -c--a-w- c:\windows\system32\dllcache\viaagp.sys
2010-05-18 15:27 . 2004-08-03 20:59 5376 -c--a-w- c:\windows\system32\dllcache\viaide.sys
2010-05-18 15:27 . 2004-08-03 22:56 53760 -c--a-w- c:\windows\system32\dllcache\vfwwdm32.dll
2010-05-18 15:27 . 2004-08-03 22:56 11325 -c--a-w- c:\windows\system32\dllcache\vchnt5.dll
2010-05-18 15:27 . 2001-08-17 11:28 687999 -c--a-w- c:\windows\system32\dllcache\usrwdxjs.sys
2010-05-18 15:25 . 2001-08-17 20:36 26624 -c--a-w- c:\windows\system32\dllcache\umaxu22.dll
2010-05-18 15:25 . 2001-08-17 20:36 69632 -c--a-w- c:\windows\system32\dllcache\umaxu12.dll
2010-05-18 15:25 . 2001-08-17 20:36 50688 -c--a-w- c:\windows\system32\dllcache\umaxscan.dll
2010-05-18 15:25 . 2001-08-17 11:58 22912 -c--a-w- c:\windows\system32\dllcache\umaxpcls.sys
2010-05-18 15:25 . 2001-08-17 20:36 50176 -c--a-w- c:\windows\system32\dllcache\umaxp60.dll
2010-05-18 15:25 . 2001-08-17 20:36 47616 -c--a-w- c:\windows\system32\dllcache\umaxcam.dll
2010-05-18 15:25 . 2001-08-17 20:36 211968 -c--a-w- c:\windows\system32\dllcache\um54scan.dll
2010-05-18 15:25 . 2001-08-17 20:36 216064 -c--a-w- c:\windows\system32\dllcache\um34scan.dll
2010-05-18 15:25 . 2001-08-17 11:52 36736 -c--a-w- c:\windows\system32\dllcache\ultra.sys
2010-05-18 15:25 . 2004-08-03 21:07 44672 -c--a-w- c:\windows\system32\dllcache\uagp35.sys
2010-05-18 15:25 . 2001-08-17 11:48 11520 -c--a-w- c:\windows\system32\dllcache\twotrack.sys
2010-05-18 15:25 . 2001-08-17 10:51 166784 -c--a-w- c:\windows\system32\dllcache\tridxpm.sys
2010-05-18 15:25 . 2001-08-17 20:36 525568 -c--a-w- c:\windows\system32\dllcache\tridxp.dll
2010-05-18 15:24 . 2001-08-17 10:51 159232 -c--a-w- c:\windows\system32\dllcache\tridkbm.sys
2010-05-18 15:24 . 2001-08-17 12:56 440576 -c--a-w- c:\windows\system32\dllcache\tridkb.dll
2010-05-18 15:24 . 2001-08-17 10:51 222336 -c--a-w- c:\windows\system32\dllcache\trid3dm.sys
2010-05-18 15:24 . 2001-08-17 12:56 315520 -c--a-w- c:\windows\system32\dllcache\trid3d.dll
2010-05-18 15:24 . 2001-08-17 10:12 34375 -c--a-w- c:\windows\system32\dllcache\tpro4.sys
2010-05-18 15:24 . 2001-08-17 20:35 42496 -c--a-w- c:\windows\system32\dllcache\tp4res.dll
2010-05-18 15:24 . 2004-08-03 22:56 82432 -c--a-w- c:\windows\system32\dllcache\tp4mon.exe
2010-05-18 15:24 . 2001-08-17 20:36 31744 -c--a-w- c:\windows\system32\dllcache\tp4.dll
2010-05-18 15:24 . 2001-08-17 11:51 4992 -c--a-w- c:\windows\system32\dllcache\toside.sys
2010-05-18 15:24 . 2001-08-17 12:02 230912 -c--a-w- c:\windows\system32\dllcache\tosdvd03.sys
2010-05-18 15:24 . 2001-08-17 12:01 241664 -c--a-w- c:\windows\system32\dllcache\tosdvd02.sys
2010-05-18 15:24 . 2001-08-17 10:10 28232 -c--a-w- c:\windows\system32\dllcache\tos4mo.sys
2010-05-18 15:23 . 2001-08-17 10:14 123995 -c--a-w- c:\windows\system32\dllcache\tjisdn.sys
2010-05-18 15:23 . 2001-08-17 10:51 138528 -c--a-w- c:\windows\system32\dllcache\tgiulnt5.sys
2010-05-18 15:23 . 2001-08-17 12:56 81408 -c--a-w- c:\windows\system32\dllcache\tgiul50.dll
2010-05-18 15:23 . 2004-08-03 21:00 149376 -c--a-w- c:\windows\system32\dllcache\tffsport.sys
2010-05-18 15:23 . 2001-08-17 10:13 17129 -c--a-w- c:\windows\system32\dllcache\tdkcd31.sys
2010-05-18 15:23 . 2001-08-17 10:13 37961 -c--a-w- c:\windows\system32\dllcache\tdk100b.sys
2010-05-18 15:23 . 2001-08-17 11:49 30464 -c--a-w- c:\windows\system32\dllcache\tbatm155.sys
2010-05-18 15:23 . 2001-08-17 11:52 7040 -c--a-w- c:\windows\system32\dllcache\tandqic.sys
2010-05-18 15:23 . 2001-08-17 10:50 36640 -c--a-w- c:\windows\system32\dllcache\t2r4mini.sys
2010-05-18 15:23 . 2001-08-17 12:56 172768 -c--a-w- c:\windows\system32\dllcache\t2r4disp.dll
2010-05-18 15:23 . 2001-08-17 12:07 32640 -c--a-w- c:\windows\system32\dllcache\symc8xx.sys
2010-05-18 15:21 . 2001-08-17 10:11 48736 -c--a-w- c:\windows\system32\dllcache\srwlnd5.sys
2010-05-18 15:21 . 2001-08-17 20:36 99328 -c--a-w- c:\windows\system32\dllcache\srusd.dll
2010-05-18 15:21 . 2001-08-17 20:36 24660 -c--a-w- c:\windows\system32\dllcache\spxupchk.dll
2010-05-18 15:21 . 2001-08-17 11:51 61824 -c--a-w- c:\windows\system32\dllcache\speed.sys
2010-05-18 15:21 . 2001-08-17 20:36 106584 -c--a-w- c:\windows\system32\dllcache\spdports.dll
2010-05-18 15:21 . 2001-08-17 12:07 19072 -c--a-w- c:\windows\system32\dllcache\sparrow.sys
2010-05-18 15:21 . 2001-08-17 11:56 7552 -c--a-w- c:\windows\system32\dllcache\sonypvu1.sys
2010-05-18 15:21 . 2001-08-17 10:51 37040 -c--a-w- c:\windows\system32\dllcache\sonypi.sys
2010-05-18 15:21 . 2001-08-17 20:36 114688 -c--a-w- c:\windows\system32\dllcache\sonypi.dll
2010-05-18 15:21 . 2001-08-17 10:51 20752 -c--a-w- c:\windows\system32\dllcache\sonync.sys
2010-05-18 15:21 . 2001-08-17 11:53 9600 -c--a-w- c:\windows\system32\dllcache\sonymc.sys
2010-05-18 15:21 . 2004-08-03 21:00 7552 -c--a-w- c:\windows\system32\dllcache\sonyait.sys
2010-05-18 15:21 . 2001-08-17 11:53 7040 -c--a-w- c:\windows\system32\dllcache\snyaitmc.sys
2010-05-18 15:19 . 2001-08-17 12:56 157696 -c--a-w- c:\windows\system32\dllcache\sisv256.dll
2010-05-18 15:18 . 2001-08-17 11:53 6912 -c--a-w- c:\windows\system32\dllcache\seaddsmc.sys
2010-05-18 15:17 . 2001-08-17 12:56 182272 -c--a-w- c:\windows\system32\dllcache\s3mt3d.dll
2010-05-18 15:16 . 2001-08-17 11:51 19584 -c--a-w- c:\windows\system32\dllcache\rasirda.sys
2010-05-18 15:15 . 2004-08-03 22:56 363520 -c--a-w- c:\windows\system32\dllcache\psisdecd.dll
2010-05-18 15:14 . 2001-08-17 20:36 86016 -c--a-w- c:\windows\system32\dllcache\pctspk.exe
2010-05-18 15:13 . 2001-08-17 11:28 54186 -c--a-w- c:\windows\system32\dllcache\otcsercb.sys
2010-05-18 15:12 . 2001-08-17 10:12 32840 -c--a-w- c:\windows\system32\dllcache\ngrpci.sys
2010-05-18 15:11 . 2001-08-17 11:50 21888 -c--a-w- c:\windows\system32\dllcache\mxcard.sys
2010-05-18 15:10 . 2001-08-17 11:52 17280 -c--a-w- c:\windows\system32\dllcache\mraid35x.sys
2010-05-18 15:10 . 2004-08-03 21:10 15360 -c--a-w- c:\windows\system32\dllcache\mpe.sys
2010-05-18 15:10 . 2001-08-17 11:57 16128 -c--a-w- c:\windows\system32\dllcache\modemcsa.sys
2010-05-18 15:10 . 2001-08-17 11:52 6528 -c--a-w- c:\windows\system32\dllcache\miniqic.sys
2010-05-18 15:10 . 2001-08-17 10:50 320384 -c--a-w- c:\windows\system32\dllcache\mgaum.sys
2010-05-18 15:10 . 2001-08-17 12:56 235648 -c--a-w- c:\windows\system32\dllcache\mgaud.dll
2010-05-18 15:10 . 2004-08-03 21:00 26112 -c--a-w- c:\windows\system32\dllcache\memstpci.sys
2010-05-18 15:10 . 2001-08-17 20:36 47616 -c--a-w- c:\windows\system32\dllcache\memgrp.dll
2010-05-18 15:10 . 2001-08-17 11:58 8320 -c--a-w- c:\windows\system32\dllcache\memcard.sys
2010-05-18 15:10 . 2001-08-17 10:12 164586 -c--a-w- c:\windows\system32\dllcache\mdgndis5.sys
2010-05-18 15:10 . 2001-08-17 11:52 7424 -c--a-w- c:\windows\system32\dllcache\mammoth.sys
2010-05-18 15:08 . 2001-08-17 20:36 242176 -c--a-w- c:\windows\system32\dllcache\kdsusd.dll
2010-05-18 15:08 . 2001-08-17 20:36 45568 -c--a-w- c:\windows\system32\dllcache\kdsui.dll
2010-05-18 15:08 . 2001-08-17 20:36 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll
2010-05-18 15:08 . 2001-08-17 20:36 8704 -c--a-w- c:\windows\system32\dllcache\kbdjpn.dll
2010-05-18 15:08 . 2004-08-03 20:58 14848 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys
2010-05-18 15:08 . 2001-08-17 12:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd106.dll
2010-05-18 15:08 . 2001-08-17 12:55 5632 -c--a-w- c:\windows\system32\dllcache\kbd103.dll
2010-05-18 15:08 . 2001-08-17 12:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101c.dll
2010-05-18 15:08 . 2001-08-17 12:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101b.dll
2010-05-18 15:08 . 2001-08-17 11:49 26624 -c--a-w- c:\windows\system32\dllcache\irstusb.sys
2010-05-18 15:08 . 2004-08-03 22:56 27136 -c--a-w- c:\windows\system32\dllcache\irmon.dll
2010-05-18 15:08 . 2001-08-17 11:51 18688 -c--a-w- c:\windows\system32\dllcache\irsir.sys
2010-05-18 15:07 . 2004-08-03 22:56 152576 -c--a-w- c:\windows\system32\dllcache\irftp.exe
2010-05-18 15:07 . 2001-08-17 11:49 23552 -c--a-w- c:\windows\system32\dllcache\irmk7.sys
2010-05-18 15:07 . 2004-08-03 21:00 87424 -c--a-w- c:\windows\system32\dllcache\irda.sys
2010-05-18 15:07 . 2004-08-03 21:08 40832 -c--a-w- c:\windows\system32\dllcache\irbus.sys
2010-05-18 15:07 . 2001-08-17 10:12 45632 -c--a-w- c:\windows\system32\dllcache\ip5515.sys
2010-05-18 15:07 . 2001-08-17 20:36 90200 -c--a-w- c:\windows\system32\dllcache\io8ports.dll
2010-05-18 15:07 . 2001-08-17 11:50 38784 -c--a-w- c:\windows\system32\dllcache\io8.sys
2010-05-18 15:07 . 2001-08-17 11:47 13056 -c--a-w- c:\windows\system32\dllcache\inport.sys
2010-05-18 15:07 . 2001-08-17 11:52 16000 -c--a-w- c:\windows\system32\dllcache\ini910u.sys
2010-05-18 15:07 . 2001-08-17 20:36 372824 -c--a-w- c:\windows\system32\dllcache\iconf32.dll
2010-05-18 15:07 . 2001-08-17 12:06 100992 -c--a-w- c:\windows\system32\dllcache\icam5usb.sys
2010-05-18 15:05 . 2004-08-03 20:41 1041536 -c--a-w- c:\windows\system32\dllcache\hsfdpsp2.sys
2010-05-18 15:05 . 2004-08-03 20:41 685056 -c--a-w- c:\windows\system32\dllcache\hsfcxts2.sys
2010-05-18 15:05 . 2004-08-03 22:56 32285 -c--a-w- c:\windows\system32\dllcache\hsfcisp2.dll
2010-05-18 15:05 . 2004-08-03 20:41 220032 -c--a-w- c:\windows\system32\dllcache\hsfbs2s2.sys
2010-05-18 15:05 . 2001-08-17 11:28 488383 -c--a-w- c:\windows\system32\dllcache\hsf_v124.sys
2010-05-18 15:05 . 2001-08-17 11:28 50751 -c--a-w- c:\windows\system32\dllcache\hsf_tone.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-21 00:17 . 2010-01-28 13:59 -------- d-----w- c:\documents and settings\andre\Application Data\vlc
2010-05-21 00:15 . 2009-11-06 23:43 -------- d-----w- c:\documents and settings\andre\Application Data\dvdcss
2010-05-21 00:14 . 2009-11-02 23:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Soulseek
2010-05-20 23:13 . 2009-11-12 23:09 1 ----a-w- c:\documents and settings\andre\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-19 00:32 . 2009-11-03 00:20 -------- d-----w- c:\documents and settings\andre\Application Data\foobar2000
2010-05-17 18:49 . 2009-11-02 20:53 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-04 19:04 . 2010-04-08 00:22 -------- d-----w- c:\program files\COMODO
2010-05-04 16:06 . 2010-04-08 00:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo Downloader
2010-05-02 22:23 . 2009-12-01 15:17 -------- d-----w- c:\program files\Hemera Products
2010-05-02 19:26 . 2010-04-08 16:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-29 13:39 . 2010-04-08 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-04-08 16:09 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-27 21:02 . 2004-08-04 12:00 182912 ----a-w- c:\windows\system32\drivers\ndis.sys
2010-04-08 19:09 . 2010-04-08 19:09 -------- d-----w- c:\program files\Trend Micro
2010-04-08 16:09 . 2010-04-08 16:09 -------- d-----w- c:\documents and settings\andre\Application Data\Malwarebytes
2010-04-08 16:09 . 2010-04-08 16:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-25 21:44 . 2010-03-25 21:44 -------- d-----w- c:\documents and settings\andre\Application Data\AccurateRip
2010-03-25 21:44 . 2010-03-25 21:44 -------- d-----w- c:\program files\Exact Audio Copy
.
Microsoft Windows XP Professional 5.1.2600.2.1252.33.1033.18.767.626 [GMT 2:00]
Lancé depuis: c:\documents and settings\andre\Desktop\rogercavallier.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\andre\Application Data\Dossier de téléchargement Share-to-Web
c:\windows\system32\drivers\ylqohusf.sys
c:\windows\system32\drivers\zyhhdehj.sys
c:\windows\system32\fquxnrl.dll
c:\windows\system32\hhhoivt.dll
c:\windows\system32\rbwmmqrx.dll
c:\windows\Tasks\At1.job
Une copie infectée de c:\windows\system32\drivers\intelide.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ZYHHDEHJ
-------\Service_zyhhdehj
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-21 au 2010-05-21 ))))))))))))))))))))))))))))))))))))
.
2010-05-21 07:24 . 2010-05-21 07:24 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-18 15:33 . 2004-08-03 22:56 116224 -c--a-w- c:\windows\system32\dllcache\xrxwiadr.dll
2010-05-18 15:33 . 2001-08-17 20:36 23040 -c--a-w- c:\windows\system32\dllcache\xrxwbtmp.dll
2010-05-18 15:33 . 2001-08-17 20:36 17408 -c--a-w- c:\windows\system32\dllcache\xrxscnui.dll
2010-05-18 15:33 . 2001-08-17 20:37 27648 -c--a-w- c:\windows\system32\dllcache\xrxftplt.exe
2010-05-18 15:33 . 2001-08-17 20:37 4608 -c--a-w- c:\windows\system32\dllcache\xrxflnch.exe
2010-05-18 15:31 . 2001-08-17 20:37 99865 -c--a-w- c:\windows\system32\dllcache\xlog.exe
2010-05-18 15:31 . 2001-08-17 10:11 16970 -c--a-w- c:\windows\system32\dllcache\xem336n5.sys
2010-05-18 15:31 . 2004-08-03 20:29 19455 -c--a-w- c:\windows\system32\dllcache\wvchntxx.sys
2010-05-18 15:31 . 2004-08-03 21:10 19328 -c--a-w- c:\windows\system32\dllcache\wstcodec.sys
2010-05-18 15:31 . 2004-08-03 20:29 12063 -c--a-w- c:\windows\system32\dllcache\wsiintxx.sys
2010-05-18 15:31 . 2004-08-03 22:56 8192 -c--a-w- c:\windows\system32\dllcache\wshirda.dll
2010-05-18 15:29 . 2004-08-03 21:07 8832 -c--a-w- c:\windows\system32\dllcache\wmiacpi.sys
2010-05-18 15:29 . 2004-08-03 20:31 154624 -c--a-w- c:\windows\system32\dllcache\wlluc48.sys
2010-05-18 15:29 . 2001-08-17 10:12 34890 -c--a-w- c:\windows\system32\dllcache\wlandrv2.sys
2010-05-18 15:29 . 2001-08-17 11:28 771581 -c--a-w- c:\windows\system32\dllcache\winacisa.sys
2010-05-18 15:27 . 2001-08-17 10:13 19528 -c--a-w- c:\windows\system32\dllcache\w840nd.sys
2010-05-18 15:27 . 2001-08-17 11:28 64605 -c--a-w- c:\windows\system32\dllcache\vvoice.sys
2010-05-18 15:27 . 2001-08-17 11:28 397502 -c--a-w- c:\windows\system32\dllcache\vpctcom.sys
2010-05-18 15:27 . 2001-08-17 11:28 604253 -c--a-w- c:\windows\system32\dllcache\vmodem.sys
2010-05-18 15:27 . 2001-08-17 10:14 249402 -c--a-w- c:\windows\system32\dllcache\vinwm.sys
2010-05-18 15:27 . 2001-08-17 11:49 24576 -c--a-w- c:\windows\system32\dllcache\viairda.sys
2010-05-18 15:27 . 2004-08-03 21:07 42240 -c--a-w- c:\windows\system32\dllcache\viaagp.sys
2010-05-18 15:27 . 2004-08-03 20:59 5376 -c--a-w- c:\windows\system32\dllcache\viaide.sys
2010-05-18 15:27 . 2004-08-03 22:56 53760 -c--a-w- c:\windows\system32\dllcache\vfwwdm32.dll
2010-05-18 15:27 . 2004-08-03 22:56 11325 -c--a-w- c:\windows\system32\dllcache\vchnt5.dll
2010-05-18 15:27 . 2001-08-17 11:28 687999 -c--a-w- c:\windows\system32\dllcache\usrwdxjs.sys
2010-05-18 15:25 . 2001-08-17 20:36 26624 -c--a-w- c:\windows\system32\dllcache\umaxu22.dll
2010-05-18 15:25 . 2001-08-17 20:36 69632 -c--a-w- c:\windows\system32\dllcache\umaxu12.dll
2010-05-18 15:25 . 2001-08-17 20:36 50688 -c--a-w- c:\windows\system32\dllcache\umaxscan.dll
2010-05-18 15:25 . 2001-08-17 11:58 22912 -c--a-w- c:\windows\system32\dllcache\umaxpcls.sys
2010-05-18 15:25 . 2001-08-17 20:36 50176 -c--a-w- c:\windows\system32\dllcache\umaxp60.dll
2010-05-18 15:25 . 2001-08-17 20:36 47616 -c--a-w- c:\windows\system32\dllcache\umaxcam.dll
2010-05-18 15:25 . 2001-08-17 20:36 211968 -c--a-w- c:\windows\system32\dllcache\um54scan.dll
2010-05-18 15:25 . 2001-08-17 20:36 216064 -c--a-w- c:\windows\system32\dllcache\um34scan.dll
2010-05-18 15:25 . 2001-08-17 11:52 36736 -c--a-w- c:\windows\system32\dllcache\ultra.sys
2010-05-18 15:25 . 2004-08-03 21:07 44672 -c--a-w- c:\windows\system32\dllcache\uagp35.sys
2010-05-18 15:25 . 2001-08-17 11:48 11520 -c--a-w- c:\windows\system32\dllcache\twotrack.sys
2010-05-18 15:25 . 2001-08-17 10:51 166784 -c--a-w- c:\windows\system32\dllcache\tridxpm.sys
2010-05-18 15:25 . 2001-08-17 20:36 525568 -c--a-w- c:\windows\system32\dllcache\tridxp.dll
2010-05-18 15:24 . 2001-08-17 10:51 159232 -c--a-w- c:\windows\system32\dllcache\tridkbm.sys
2010-05-18 15:24 . 2001-08-17 12:56 440576 -c--a-w- c:\windows\system32\dllcache\tridkb.dll
2010-05-18 15:24 . 2001-08-17 10:51 222336 -c--a-w- c:\windows\system32\dllcache\trid3dm.sys
2010-05-18 15:24 . 2001-08-17 12:56 315520 -c--a-w- c:\windows\system32\dllcache\trid3d.dll
2010-05-18 15:24 . 2001-08-17 10:12 34375 -c--a-w- c:\windows\system32\dllcache\tpro4.sys
2010-05-18 15:24 . 2001-08-17 20:35 42496 -c--a-w- c:\windows\system32\dllcache\tp4res.dll
2010-05-18 15:24 . 2004-08-03 22:56 82432 -c--a-w- c:\windows\system32\dllcache\tp4mon.exe
2010-05-18 15:24 . 2001-08-17 20:36 31744 -c--a-w- c:\windows\system32\dllcache\tp4.dll
2010-05-18 15:24 . 2001-08-17 11:51 4992 -c--a-w- c:\windows\system32\dllcache\toside.sys
2010-05-18 15:24 . 2001-08-17 12:02 230912 -c--a-w- c:\windows\system32\dllcache\tosdvd03.sys
2010-05-18 15:24 . 2001-08-17 12:01 241664 -c--a-w- c:\windows\system32\dllcache\tosdvd02.sys
2010-05-18 15:24 . 2001-08-17 10:10 28232 -c--a-w- c:\windows\system32\dllcache\tos4mo.sys
2010-05-18 15:23 . 2001-08-17 10:14 123995 -c--a-w- c:\windows\system32\dllcache\tjisdn.sys
2010-05-18 15:23 . 2001-08-17 10:51 138528 -c--a-w- c:\windows\system32\dllcache\tgiulnt5.sys
2010-05-18 15:23 . 2001-08-17 12:56 81408 -c--a-w- c:\windows\system32\dllcache\tgiul50.dll
2010-05-18 15:23 . 2004-08-03 21:00 149376 -c--a-w- c:\windows\system32\dllcache\tffsport.sys
2010-05-18 15:23 . 2001-08-17 10:13 17129 -c--a-w- c:\windows\system32\dllcache\tdkcd31.sys
2010-05-18 15:23 . 2001-08-17 10:13 37961 -c--a-w- c:\windows\system32\dllcache\tdk100b.sys
2010-05-18 15:23 . 2001-08-17 11:49 30464 -c--a-w- c:\windows\system32\dllcache\tbatm155.sys
2010-05-18 15:23 . 2001-08-17 11:52 7040 -c--a-w- c:\windows\system32\dllcache\tandqic.sys
2010-05-18 15:23 . 2001-08-17 10:50 36640 -c--a-w- c:\windows\system32\dllcache\t2r4mini.sys
2010-05-18 15:23 . 2001-08-17 12:56 172768 -c--a-w- c:\windows\system32\dllcache\t2r4disp.dll
2010-05-18 15:23 . 2001-08-17 12:07 32640 -c--a-w- c:\windows\system32\dllcache\symc8xx.sys
2010-05-18 15:21 . 2001-08-17 10:11 48736 -c--a-w- c:\windows\system32\dllcache\srwlnd5.sys
2010-05-18 15:21 . 2001-08-17 20:36 99328 -c--a-w- c:\windows\system32\dllcache\srusd.dll
2010-05-18 15:21 . 2001-08-17 20:36 24660 -c--a-w- c:\windows\system32\dllcache\spxupchk.dll
2010-05-18 15:21 . 2001-08-17 11:51 61824 -c--a-w- c:\windows\system32\dllcache\speed.sys
2010-05-18 15:21 . 2001-08-17 20:36 106584 -c--a-w- c:\windows\system32\dllcache\spdports.dll
2010-05-18 15:21 . 2001-08-17 12:07 19072 -c--a-w- c:\windows\system32\dllcache\sparrow.sys
2010-05-18 15:21 . 2001-08-17 11:56 7552 -c--a-w- c:\windows\system32\dllcache\sonypvu1.sys
2010-05-18 15:21 . 2001-08-17 10:51 37040 -c--a-w- c:\windows\system32\dllcache\sonypi.sys
2010-05-18 15:21 . 2001-08-17 20:36 114688 -c--a-w- c:\windows\system32\dllcache\sonypi.dll
2010-05-18 15:21 . 2001-08-17 10:51 20752 -c--a-w- c:\windows\system32\dllcache\sonync.sys
2010-05-18 15:21 . 2001-08-17 11:53 9600 -c--a-w- c:\windows\system32\dllcache\sonymc.sys
2010-05-18 15:21 . 2004-08-03 21:00 7552 -c--a-w- c:\windows\system32\dllcache\sonyait.sys
2010-05-18 15:21 . 2001-08-17 11:53 7040 -c--a-w- c:\windows\system32\dllcache\snyaitmc.sys
2010-05-18 15:19 . 2001-08-17 12:56 157696 -c--a-w- c:\windows\system32\dllcache\sisv256.dll
2010-05-18 15:18 . 2001-08-17 11:53 6912 -c--a-w- c:\windows\system32\dllcache\seaddsmc.sys
2010-05-18 15:17 . 2001-08-17 12:56 182272 -c--a-w- c:\windows\system32\dllcache\s3mt3d.dll
2010-05-18 15:16 . 2001-08-17 11:51 19584 -c--a-w- c:\windows\system32\dllcache\rasirda.sys
2010-05-18 15:15 . 2004-08-03 22:56 363520 -c--a-w- c:\windows\system32\dllcache\psisdecd.dll
2010-05-18 15:14 . 2001-08-17 20:36 86016 -c--a-w- c:\windows\system32\dllcache\pctspk.exe
2010-05-18 15:13 . 2001-08-17 11:28 54186 -c--a-w- c:\windows\system32\dllcache\otcsercb.sys
2010-05-18 15:12 . 2001-08-17 10:12 32840 -c--a-w- c:\windows\system32\dllcache\ngrpci.sys
2010-05-18 15:11 . 2001-08-17 11:50 21888 -c--a-w- c:\windows\system32\dllcache\mxcard.sys
2010-05-18 15:10 . 2001-08-17 11:52 17280 -c--a-w- c:\windows\system32\dllcache\mraid35x.sys
2010-05-18 15:10 . 2004-08-03 21:10 15360 -c--a-w- c:\windows\system32\dllcache\mpe.sys
2010-05-18 15:10 . 2001-08-17 11:57 16128 -c--a-w- c:\windows\system32\dllcache\modemcsa.sys
2010-05-18 15:10 . 2001-08-17 11:52 6528 -c--a-w- c:\windows\system32\dllcache\miniqic.sys
2010-05-18 15:10 . 2001-08-17 10:50 320384 -c--a-w- c:\windows\system32\dllcache\mgaum.sys
2010-05-18 15:10 . 2001-08-17 12:56 235648 -c--a-w- c:\windows\system32\dllcache\mgaud.dll
2010-05-18 15:10 . 2004-08-03 21:00 26112 -c--a-w- c:\windows\system32\dllcache\memstpci.sys
2010-05-18 15:10 . 2001-08-17 20:36 47616 -c--a-w- c:\windows\system32\dllcache\memgrp.dll
2010-05-18 15:10 . 2001-08-17 11:58 8320 -c--a-w- c:\windows\system32\dllcache\memcard.sys
2010-05-18 15:10 . 2001-08-17 10:12 164586 -c--a-w- c:\windows\system32\dllcache\mdgndis5.sys
2010-05-18 15:10 . 2001-08-17 11:52 7424 -c--a-w- c:\windows\system32\dllcache\mammoth.sys
2010-05-18 15:08 . 2001-08-17 20:36 242176 -c--a-w- c:\windows\system32\dllcache\kdsusd.dll
2010-05-18 15:08 . 2001-08-17 20:36 45568 -c--a-w- c:\windows\system32\dllcache\kdsui.dll
2010-05-18 15:08 . 2001-08-17 20:36 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll
2010-05-18 15:08 . 2001-08-17 20:36 8704 -c--a-w- c:\windows\system32\dllcache\kbdjpn.dll
2010-05-18 15:08 . 2004-08-03 20:58 14848 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys
2010-05-18 15:08 . 2001-08-17 12:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd106.dll
2010-05-18 15:08 . 2001-08-17 12:55 5632 -c--a-w- c:\windows\system32\dllcache\kbd103.dll
2010-05-18 15:08 . 2001-08-17 12:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101c.dll
2010-05-18 15:08 . 2001-08-17 12:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101b.dll
2010-05-18 15:08 . 2001-08-17 11:49 26624 -c--a-w- c:\windows\system32\dllcache\irstusb.sys
2010-05-18 15:08 . 2004-08-03 22:56 27136 -c--a-w- c:\windows\system32\dllcache\irmon.dll
2010-05-18 15:08 . 2001-08-17 11:51 18688 -c--a-w- c:\windows\system32\dllcache\irsir.sys
2010-05-18 15:07 . 2004-08-03 22:56 152576 -c--a-w- c:\windows\system32\dllcache\irftp.exe
2010-05-18 15:07 . 2001-08-17 11:49 23552 -c--a-w- c:\windows\system32\dllcache\irmk7.sys
2010-05-18 15:07 . 2004-08-03 21:00 87424 -c--a-w- c:\windows\system32\dllcache\irda.sys
2010-05-18 15:07 . 2004-08-03 21:08 40832 -c--a-w- c:\windows\system32\dllcache\irbus.sys
2010-05-18 15:07 . 2001-08-17 10:12 45632 -c--a-w- c:\windows\system32\dllcache\ip5515.sys
2010-05-18 15:07 . 2001-08-17 20:36 90200 -c--a-w- c:\windows\system32\dllcache\io8ports.dll
2010-05-18 15:07 . 2001-08-17 11:50 38784 -c--a-w- c:\windows\system32\dllcache\io8.sys
2010-05-18 15:07 . 2001-08-17 11:47 13056 -c--a-w- c:\windows\system32\dllcache\inport.sys
2010-05-18 15:07 . 2001-08-17 11:52 16000 -c--a-w- c:\windows\system32\dllcache\ini910u.sys
2010-05-18 15:07 . 2001-08-17 20:36 372824 -c--a-w- c:\windows\system32\dllcache\iconf32.dll
2010-05-18 15:07 . 2001-08-17 12:06 100992 -c--a-w- c:\windows\system32\dllcache\icam5usb.sys
2010-05-18 15:05 . 2004-08-03 20:41 1041536 -c--a-w- c:\windows\system32\dllcache\hsfdpsp2.sys
2010-05-18 15:05 . 2004-08-03 20:41 685056 -c--a-w- c:\windows\system32\dllcache\hsfcxts2.sys
2010-05-18 15:05 . 2004-08-03 22:56 32285 -c--a-w- c:\windows\system32\dllcache\hsfcisp2.dll
2010-05-18 15:05 . 2004-08-03 20:41 220032 -c--a-w- c:\windows\system32\dllcache\hsfbs2s2.sys
2010-05-18 15:05 . 2001-08-17 11:28 488383 -c--a-w- c:\windows\system32\dllcache\hsf_v124.sys
2010-05-18 15:05 . 2001-08-17 11:28 50751 -c--a-w- c:\windows\system32\dllcache\hsf_tone.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-21 00:17 . 2010-01-28 13:59 -------- d-----w- c:\documents and settings\andre\Application Data\vlc
2010-05-21 00:15 . 2009-11-06 23:43 -------- d-----w- c:\documents and settings\andre\Application Data\dvdcss
2010-05-21 00:14 . 2009-11-02 23:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Soulseek
2010-05-20 23:13 . 2009-11-12 23:09 1 ----a-w- c:\documents and settings\andre\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-19 00:32 . 2009-11-03 00:20 -------- d-----w- c:\documents and settings\andre\Application Data\foobar2000
2010-05-17 18:49 . 2009-11-02 20:53 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-04 19:04 . 2010-04-08 00:22 -------- d-----w- c:\program files\COMODO
2010-05-04 16:06 . 2010-04-08 00:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo Downloader
2010-05-02 22:23 . 2009-12-01 15:17 -------- d-----w- c:\program files\Hemera Products
2010-05-02 19:26 . 2010-04-08 16:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-29 13:39 . 2010-04-08 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-04-08 16:09 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-27 21:02 . 2004-08-04 12:00 182912 ----a-w- c:\windows\system32\drivers\ndis.sys
2010-04-08 19:09 . 2010-04-08 19:09 -------- d-----w- c:\program files\Trend Micro
2010-04-08 16:09 . 2010-04-08 16:09 -------- d-----w- c:\documents and settings\andre\Application Data\Malwarebytes
2010-04-08 16:09 . 2010-04-08 16:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-25 21:44 . 2010-03-25 21:44 -------- d-----w- c:\documents and settings\andre\Application Data\AccurateRip
2010-03-25 21:44 . 2010-03-25 21:44 -------- d-----w- c:\program files\Exact Audio Copy
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-12 149280]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-12-1 110592]
[HKLM\~\startupfolder\C:^Documents and Settings^andre^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk]
path=c:\documents and settings\andre\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
NvQTwk [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-03-24 18:17 952768 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
2002-04-17 09:42 69632 ----a-w- c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Documents and Settings\\andre\\Desktop\\slsk.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
aclmibel
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
FF - ProfilePath - c:\documents and settings\andre\Application Data\Mozilla\Firefox\Profiles\dvkjgvwa.default\
FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
ShellIconOverlayIdentifiers-{EF8EDE6A-0721-4F9F-922D-745320E4B0FE} - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-21 15:19
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x82F19EE4]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7583fc3
\Driver\ACPI -> ACPI.sys @ 0xf74e6cb8
\Driver\atapi -> atapi.sys @ 0xf74787b4
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7385ba0
PacketIndicateHandler -> NDIS.sys @ 0xf7392b21
SendHandler -> NDIS.sys @ 0xf737087b
user & kernel MBR OK
copy of MBR has been found in sector 0x06FBC03D
malicious code @ sector 0x06FBC040 !
PE file found in sector at 0x06FBC056 !
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
.
**************************************************************************
.
Heure de fin: 2010-05-21 15:23:07 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-21 13:23
Avant-CF: 7 166 140 416 bytes free
Après-CF: 7 358 414 848 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 28C94FBFCB0B5D20EB988043D0AE7D8A
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-12 149280]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-12-1 110592]
[HKLM\~\startupfolder\C:^Documents and Settings^andre^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk]
path=c:\documents and settings\andre\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
NvQTwk [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-03-24 18:17 952768 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
2002-04-17 09:42 69632 ----a-w- c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Documents and Settings\\andre\\Desktop\\slsk.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
aclmibel
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
FF - ProfilePath - c:\documents and settings\andre\Application Data\Mozilla\Firefox\Profiles\dvkjgvwa.default\
FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
ShellIconOverlayIdentifiers-{EF8EDE6A-0721-4F9F-922D-745320E4B0FE} - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-21 15:19
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x82F19EE4]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7583fc3
\Driver\ACPI -> ACPI.sys @ 0xf74e6cb8
\Driver\atapi -> atapi.sys @ 0xf74787b4
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7385ba0
PacketIndicateHandler -> NDIS.sys @ 0xf7392b21
SendHandler -> NDIS.sys @ 0xf737087b
user & kernel MBR OK
copy of MBR has been found in sector 0x06FBC03D
malicious code @ sector 0x06FBC040 !
PE file found in sector at 0x06FBC056 !
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
.
**************************************************************************
.
Heure de fin: 2010-05-21 15:23:07 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-21 13:23
Avant-CF: 7 166 140 416 bytes free
Après-CF: 7 358 414 848 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 28C94FBFCB0B5D20EB988043D0AE7D8A
