Problème de dossier vide créé au démarrage
Résolu
Trex Averell
Messages postés
16
Date d'inscription
Statut
Membre
Dernière intervention
-
Trex Averell Messages postés 16 Date d'inscription Statut Membre Dernière intervention -
Trex Averell Messages postés 16 Date d'inscription Statut Membre Dernière intervention -
salut à tous!
voici mon problème :
j'avais un dossier (on va dire A) avec des données classées par sous-dossier dedans
j'ai renommé le dossier en B
depuis à chaque démarrage de windows un dossier A vide se crée dans le disque, j'ai beau le supprimer rien n'y fait.
comment résoudre ce problème? un virus? une erreur dans le registre?
merci à tous!
A voir également:
- Problème de dossier vide créé au démarrage
- Ordinateur lent au démarrage - Guide
- Reinitialiser pc au demarrage - Guide
- Forcer demarrage pc - Guide
- Problème démarrage windows 10 - Guide
- Dossier démarrage - Guide
11 réponses
Salut
On va voir ça.
* Télécharge ZHPDiag
Capture
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: cijoint et colle le lien dans la réponse
On va voir ça.
* Télécharge ZHPDiag
Capture
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: cijoint et colle le lien dans la réponse
voilà
désolé mais je n'ai pas souvent accès à internet!
http://www.cijoint.fr/cjlink.php?file=cj201005/cij44wZWuZ.txt
merci
désolé mais je n'ai pas souvent accès à internet!
http://www.cijoint.fr/cjlink.php?file=cj201005/cij44wZWuZ.txt
merci
Tu as une grosse infection au niveau du MBR:
---\\ Recherche d'infection Master Boot Record (O80)
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
Run by baina at 06/05/2010 21:06:41
device: opened successfully
user: MBR read successfully
called modules: TUKERNEL.EXE CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89569008]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x89569008
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Use "ZHPFix" command "MBRFix" to clear infection !
------
Télécharger et enregistrer sur le bureau
Combofix
=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
---\\ Recherche d'infection Master Boot Record (O80)
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
Run by baina at 06/05/2010 21:06:41
device: opened successfully
user: MBR read successfully
called modules: TUKERNEL.EXE CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89569008]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x89569008
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Use "ZHPFix" command "MBRFix" to clear infection !
------
Télécharger et enregistrer sur le bureau
Combofix
=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
ok
j'ai téléchargé combofix mais il requiert la "console de récupération" ; je dis non (PC non connecté), l'analyse se lance puis la machine redémarre. Après l'écran d'ouverture de session, plus rien je peux seulement bouger le curseur mais je n'arrive plus au bureau.
Mauvaise manip? Où puis-je télécharger cette "console de récupération"?
Merci
j'ai téléchargé combofix mais il requiert la "console de récupération" ; je dis non (PC non connecté), l'analyse se lance puis la machine redémarre. Après l'écran d'ouverture de session, plus rien je peux seulement bouger le curseur mais je n'arrive plus au bureau.
Mauvaise manip? Où puis-je télécharger cette "console de récupération"?
Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok
après le premier lancement il dit avoir trouvé un rootkit et demande à redémarrer,
je redémarre et le scan reprend mais après 1h aucune évolution ni évènement. c'est normal?
j'ai rebooté et voici ce que j'ai trouvé : dans C un raccourci nommé "Combofix" est apparu dirigeant vers le poste de travail. normal aussi?
sinon est-ce que réinstaller l'OS peut résoudre le problème?
merci
après le premier lancement il dit avoir trouvé un rootkit et demande à redémarrer,
je redémarre et le scan reprend mais après 1h aucune évolution ni évènement. c'est normal?
j'ai rebooté et voici ce que j'ai trouvé : dans C un raccourci nommé "Combofix" est apparu dirigeant vers le poste de travail. normal aussi?
sinon est-ce que réinstaller l'OS peut résoudre le problème?
merci
ouf! voilà le rapport! par contre combofix étant périmé il a bossé en mode fonctions réduites. je vais recommencer avec un nouvel exemplaire si nécessaire
il est un peu long
ComboFix 10-05-11.06 - baina 21/05/2010 21:12:49.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1791.1210 [GMT 1:00]
Lancé depuis: c:\documents and settings\baina\Bureau\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Anti-Virus *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
- Mode FONCTIONNALITES REDUITES -
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\Cache
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-21 au 2010-05-21 ))))))))))))))))))))))))))))))))))))
.
2010-05-15 21:33 . 2010-05-15 21:33 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS
2010-05-08 17:57 . 2010-05-08 17:57 10134 ----a-r- c:\documents and settings\baina\Application Data\Microsoft\Installer\{F16DCA31-4DB4-F8F6-5ED1-6FAFB7228FFF}\ARPPRODUCTICON.exe
2010-05-06 20:05 . 2010-05-06 20:06 -------- d-----w- c:\program files\ZHPDiag
2010-05-01 21:36 . 2010-05-01 21:38 94 ----a-w- c:\windows\BricoPackFoldersDelete.cmd
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-21 20:13 . 2010-01-17 10:23 18305312 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-05-21 20:13 . 2010-01-17 10:23 590112 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2010-05-21 20:10 . 2009-05-08 20:58 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-05-21 20:04 . 2009-04-17 22:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2010-05-20 21:29 . 2010-01-17 10:23 251000 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-05-20 21:29 . 2010-01-17 10:23 60236 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2010-05-15 18:06 . 2009-04-17 22:30 -------- d-----w- c:\program files\SuperCopier2
2010-05-13 14:09 . 2009-05-05 19:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Codemasters
2010-05-13 10:38 . 2009-05-01 05:29 -------- d-----w- c:\documents and settings\baina\Application Data\dvdcss
2010-05-12 21:03 . 2009-04-17 22:49 -------- d-----w- c:\program files\Webshots
2010-05-12 20:06 . 2009-04-27 19:42 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-08 18:36 . 2009-05-05 19:03 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2010-05-08 18:36 . 2009-05-05 19:03 109080 ----a-w- c:\windows\system32\OpenAL32.dll
2010-05-02 15:39 . 2009-04-17 21:37 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-01 21:38 . 2009-04-17 22:07 56339 ----a-w- c:\windows\BricoPackUninst.cmd
2010-04-15 20:20 . 2009-04-17 21:36 -------- d-----w- c:\program files\VIA
2010-04-15 19:24 . 2009-04-17 22:25 -------- d-----w- c:\program files\Ray Adams
2010-04-05 07:12 . 2010-04-05 07:12 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-04-05 07:12 . 2009-05-01 15:06 22328 ----a-w- c:\documents and settings\baina\Application Data\PnkBstrK.sys
2010-04-05 07:12 . 2009-05-01 15:06 22328 ----a-w- c:\documents and settings\baina\Application Data\PnkBstrK.sys
2010-04-05 07:11 . 2010-04-05 07:11 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-04-05 07:11 . 2010-04-05 07:11 669184 ----a-w- c:\windows\system32\pbsvc.exe
2010-04-05 07:11 . 2010-04-05 07:11 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-03-24 21:13 . 2009-07-05 21:30 886576 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-03-23 18:55 . 2010-02-10 03:19 -------- d-----w- c:\program files\OpenOffice.org 3
2010-02-28 13:07 . 2009-04-17 23:03 68552 ----a-w- c:\documents and settings\lapin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-28 06:38 . 2010-02-10 03:21 1 ----a-w- c:\documents and settings\baina\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2004-10-01 14:00 . 2009-04-17 21:52 40960 ----a-w- c:\program files\Uninstall_CDS.exe
.
------- Sigcheck -------
[-] 2008-04-13 . 0D77DFF348EE68411F85F336C3D75257 . 104448 . . [5.4.3790.5512] . . c:\windows\ServicePackFiles\i386\wuauclt.exe
[-] 2008-04-13 . 0D77DFF348EE68411F85F336C3D75257 . 104448 . . [5.4.3790.5512] . . c:\windows\system32\wuauclt.exe
[7] 2004-08-19 . FC21787F32E3793A4C7C02D2BFAA5AE0 . 112640 . . [5.4.3790.2180] . . c:\windows\$NtServicePackUninstall$\wuauclt.exe
[-] 2008-04-13 . 1FDD33B5956806CC1409981F4FB605BF . 4670464 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\mshtml.dll
[-] 2008-04-13 . 1FDD33B5956806CC1409981F4FB605BF . 4670464 . . [6.00.2900.5512] . . c:\windows\system32\mshtml.dll
[7] 2004-08-19 . 7CA9E0D2C4DCA6B710FD57F40E597337 . 3003392 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\mshtml.dll
[-] 2008-04-13 . 77B738CACFF9CD98DC149DA2F3AE9418 . 1147904 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\wininet.dll
[-] 2008-04-13 . 77B738CACFF9CD98DC149DA2F3AE9418 . 1147904 . . [6.00.2900.5512] . . c:\windows\system32\wininet.dll
[7] 2004-08-19 . 4E958B97EFC3D801F49283D1820F48B7 . 660480 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\wininet.dll
[-] 2008-04-13 . 5158A1C542A355B3A67E59538BBD894D . 3200000 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-13 . 5158A1C542A355B3A67E59538BBD894D . 3200000 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2004-08-19 . 2A7BD330924252A2FD80344FC949BB72 . 1036288 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2005-03-13 1057280]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-04 81920]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\documents and settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background
"RocketDock"="c:\windows\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe"
"Fraps"=c:\fraps\FRAPS.EXE
"SuperCopier2.exe"=c:\program files\SuperCopier2\SuperCopier2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"HDAudDeck"=c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"nwiz"=nwiz.exe /install
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" -lang 1033
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [17/04/2009 23:30 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [17/04/2009 23:30 5248]
R2 OracleOraHome92Agent;OracleOraHome92Agent;c:\oracle\ora92\bin\agntsrvc.exe [26/04/2002 17:29 28944]
R2 OracleServiceNOMBASE;OracleServiceNOMBASE;c:\oracle\ora92\bin\ORACLE.EXE NOMBASE --> c:\oracle\ora92\bin\ORACLE.EXE NOMBASE [?]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [17/04/2009 22:37 212992]
S2 OracleOraHome92HTTPServer;OracleOraHome92HTTPServer;c:\oracle\ora92\Apache\Apache\Apache.exe [18/04/2002 22:02 4096]
S3 GPU-Z;GPU-Z; [x]
S3 OracleOraHome92SNMPPeerEncapsulator;OracleOraHome92SNMPPeerEncapsulator;c:\oracle\ora92\bin\encsvc.exe [13/02/2002 08:23 187392]
S3 OracleOraHome92SNMPPeerMasterAgent;OracleOraHome92SNMPPeerMasterAgent;c:\oracle\ora92\bin\agntsvc.exe [13/02/2002 08:23 254464]
S3 PROCEXP113;PROCEXP113;c:\windows\system32\drivers\PROCEXP113.SYS [15/05/2010 22:33 12568]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - mchInjDrv
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40a67aee-ed99-11de-a510-001e90e5606a}]
\Shell\AutoRun\command - s3ek.exe
\Shell\open\Command - s3ek.exe
.
Contenu du dossier 'Tâches planifiées'
2010-05-14 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-21 21:35]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\baina\Application Data\Mozilla\Firefox\Profiles\rzja89e4.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
Notify-AtiExtEvent - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-21 21:13
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: TUKERNEL.EXE catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89539238]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf763bf28
\Driver\ACPI -> ACPI.sys @ 0xf7587cb8
\Driver\atapi -> 0x89539238
IoDeviceObjectType -> DeleteProcedure -> TUKERNEL.EXE @ 0x805e6686
ParseProcedure -> TUKERNEL.EXE @ 0x8057b6b9
\Device\Harddisk0\DR0 -> DeleteProcedure -> TUKERNEL.EXE @ 0x805e6686
ParseProcedure -> TUKERNEL.EXE @ 0x8057b6b9
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf786cbb0
PacketIndicateHandler -> NDIS.sys @ 0xf785ba0d
SendHandler -> NDIS.sys @ 0xf786fb40
Warning: possible MBR rootkit infection !
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\baina\LOCALS~1\Temp\mc21.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome92PagingServer]
"ImagePath"="c:\oracle\ora92/bin/pagntsrv.exe"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome92TNSListener]
"ImagePath"="c:\oracle\ora92\BIN\TNSLSNR "
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(476)
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
c:\windows\system32\klogon.dll
- - - - - - - > 'lsass.exe'(532)
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll
c:\windows\system32\scecli.dll
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
- - - - - - - > 'explorer.exe'(2484)
c:\windows\system32\SHDOCVW.dll
c:\windows\BricoPacks\Crystal Clear\YzShadow\YzShadow.dll
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\scrchpg.dll
c:\progra~1\WINDOW~3\wmpband.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\msi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\stobject.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\midimap.dll
.
Heure de fin: 2010-05-21 21:15:36
ComboFix-quarantined-files.txt 2010-05-21 20:15
Avant-CF: 3 982 381 056 octets libres
Après-CF: 3 964 121 088 octets libres
- - End Of File - - 2C761AE0B377BF5974C4986A120C1076
il est un peu long
ComboFix 10-05-11.06 - baina 21/05/2010 21:12:49.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1791.1210 [GMT 1:00]
Lancé depuis: c:\documents and settings\baina\Bureau\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Anti-Virus *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
- Mode FONCTIONNALITES REDUITES -
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\Cache
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-21 au 2010-05-21 ))))))))))))))))))))))))))))))))))))
.
2010-05-15 21:33 . 2010-05-15 21:33 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS
2010-05-08 17:57 . 2010-05-08 17:57 10134 ----a-r- c:\documents and settings\baina\Application Data\Microsoft\Installer\{F16DCA31-4DB4-F8F6-5ED1-6FAFB7228FFF}\ARPPRODUCTICON.exe
2010-05-06 20:05 . 2010-05-06 20:06 -------- d-----w- c:\program files\ZHPDiag
2010-05-01 21:36 . 2010-05-01 21:38 94 ----a-w- c:\windows\BricoPackFoldersDelete.cmd
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-21 20:13 . 2010-01-17 10:23 18305312 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-05-21 20:13 . 2010-01-17 10:23 590112 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2010-05-21 20:10 . 2009-05-08 20:58 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-05-21 20:04 . 2009-04-17 22:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2010-05-20 21:29 . 2010-01-17 10:23 251000 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-05-20 21:29 . 2010-01-17 10:23 60236 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2010-05-15 18:06 . 2009-04-17 22:30 -------- d-----w- c:\program files\SuperCopier2
2010-05-13 14:09 . 2009-05-05 19:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Codemasters
2010-05-13 10:38 . 2009-05-01 05:29 -------- d-----w- c:\documents and settings\baina\Application Data\dvdcss
2010-05-12 21:03 . 2009-04-17 22:49 -------- d-----w- c:\program files\Webshots
2010-05-12 20:06 . 2009-04-27 19:42 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-08 18:36 . 2009-05-05 19:03 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2010-05-08 18:36 . 2009-05-05 19:03 109080 ----a-w- c:\windows\system32\OpenAL32.dll
2010-05-02 15:39 . 2009-04-17 21:37 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-01 21:38 . 2009-04-17 22:07 56339 ----a-w- c:\windows\BricoPackUninst.cmd
2010-04-15 20:20 . 2009-04-17 21:36 -------- d-----w- c:\program files\VIA
2010-04-15 19:24 . 2009-04-17 22:25 -------- d-----w- c:\program files\Ray Adams
2010-04-05 07:12 . 2010-04-05 07:12 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-04-05 07:12 . 2009-05-01 15:06 22328 ----a-w- c:\documents and settings\baina\Application Data\PnkBstrK.sys
2010-04-05 07:12 . 2009-05-01 15:06 22328 ----a-w- c:\documents and settings\baina\Application Data\PnkBstrK.sys
2010-04-05 07:11 . 2010-04-05 07:11 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-04-05 07:11 . 2010-04-05 07:11 669184 ----a-w- c:\windows\system32\pbsvc.exe
2010-04-05 07:11 . 2010-04-05 07:11 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-03-24 21:13 . 2009-07-05 21:30 886576 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-03-23 18:55 . 2010-02-10 03:19 -------- d-----w- c:\program files\OpenOffice.org 3
2010-02-28 13:07 . 2009-04-17 23:03 68552 ----a-w- c:\documents and settings\lapin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-28 06:38 . 2010-02-10 03:21 1 ----a-w- c:\documents and settings\baina\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2004-10-01 14:00 . 2009-04-17 21:52 40960 ----a-w- c:\program files\Uninstall_CDS.exe
.
------- Sigcheck -------
[-] 2008-04-13 . 0D77DFF348EE68411F85F336C3D75257 . 104448 . . [5.4.3790.5512] . . c:\windows\ServicePackFiles\i386\wuauclt.exe
[-] 2008-04-13 . 0D77DFF348EE68411F85F336C3D75257 . 104448 . . [5.4.3790.5512] . . c:\windows\system32\wuauclt.exe
[7] 2004-08-19 . FC21787F32E3793A4C7C02D2BFAA5AE0 . 112640 . . [5.4.3790.2180] . . c:\windows\$NtServicePackUninstall$\wuauclt.exe
[-] 2008-04-13 . 1FDD33B5956806CC1409981F4FB605BF . 4670464 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\mshtml.dll
[-] 2008-04-13 . 1FDD33B5956806CC1409981F4FB605BF . 4670464 . . [6.00.2900.5512] . . c:\windows\system32\mshtml.dll
[7] 2004-08-19 . 7CA9E0D2C4DCA6B710FD57F40E597337 . 3003392 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\mshtml.dll
[-] 2008-04-13 . 77B738CACFF9CD98DC149DA2F3AE9418 . 1147904 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\wininet.dll
[-] 2008-04-13 . 77B738CACFF9CD98DC149DA2F3AE9418 . 1147904 . . [6.00.2900.5512] . . c:\windows\system32\wininet.dll
[7] 2004-08-19 . 4E958B97EFC3D801F49283D1820F48B7 . 660480 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\wininet.dll
[-] 2008-04-13 . 5158A1C542A355B3A67E59538BBD894D . 3200000 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-13 . 5158A1C542A355B3A67E59538BBD894D . 3200000 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2004-08-19 . 2A7BD330924252A2FD80344FC949BB72 . 1036288 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2005-03-13 1057280]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-04 81920]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\documents and settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background
"RocketDock"="c:\windows\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe"
"Fraps"=c:\fraps\FRAPS.EXE
"SuperCopier2.exe"=c:\program files\SuperCopier2\SuperCopier2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"HDAudDeck"=c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"nwiz"=nwiz.exe /install
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" -lang 1033
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [17/04/2009 23:30 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [17/04/2009 23:30 5248]
R2 OracleOraHome92Agent;OracleOraHome92Agent;c:\oracle\ora92\bin\agntsrvc.exe [26/04/2002 17:29 28944]
R2 OracleServiceNOMBASE;OracleServiceNOMBASE;c:\oracle\ora92\bin\ORACLE.EXE NOMBASE --> c:\oracle\ora92\bin\ORACLE.EXE NOMBASE [?]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [17/04/2009 22:37 212992]
S2 OracleOraHome92HTTPServer;OracleOraHome92HTTPServer;c:\oracle\ora92\Apache\Apache\Apache.exe [18/04/2002 22:02 4096]
S3 GPU-Z;GPU-Z; [x]
S3 OracleOraHome92SNMPPeerEncapsulator;OracleOraHome92SNMPPeerEncapsulator;c:\oracle\ora92\bin\encsvc.exe [13/02/2002 08:23 187392]
S3 OracleOraHome92SNMPPeerMasterAgent;OracleOraHome92SNMPPeerMasterAgent;c:\oracle\ora92\bin\agntsvc.exe [13/02/2002 08:23 254464]
S3 PROCEXP113;PROCEXP113;c:\windows\system32\drivers\PROCEXP113.SYS [15/05/2010 22:33 12568]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - mchInjDrv
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40a67aee-ed99-11de-a510-001e90e5606a}]
\Shell\AutoRun\command - s3ek.exe
\Shell\open\Command - s3ek.exe
.
Contenu du dossier 'Tâches planifiées'
2010-05-14 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-21 21:35]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\baina\Application Data\Mozilla\Firefox\Profiles\rzja89e4.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
Notify-AtiExtEvent - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-21 21:13
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: TUKERNEL.EXE catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89539238]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf763bf28
\Driver\ACPI -> ACPI.sys @ 0xf7587cb8
\Driver\atapi -> 0x89539238
IoDeviceObjectType -> DeleteProcedure -> TUKERNEL.EXE @ 0x805e6686
ParseProcedure -> TUKERNEL.EXE @ 0x8057b6b9
\Device\Harddisk0\DR0 -> DeleteProcedure -> TUKERNEL.EXE @ 0x805e6686
ParseProcedure -> TUKERNEL.EXE @ 0x8057b6b9
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf786cbb0
PacketIndicateHandler -> NDIS.sys @ 0xf785ba0d
SendHandler -> NDIS.sys @ 0xf786fb40
Warning: possible MBR rootkit infection !
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\baina\LOCALS~1\Temp\mc21.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome92PagingServer]
"ImagePath"="c:\oracle\ora92/bin/pagntsrv.exe"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome92TNSListener]
"ImagePath"="c:\oracle\ora92\BIN\TNSLSNR "
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(476)
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
c:\windows\system32\klogon.dll
- - - - - - - > 'lsass.exe'(532)
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll
c:\windows\system32\scecli.dll
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
- - - - - - - > 'explorer.exe'(2484)
c:\windows\system32\SHDOCVW.dll
c:\windows\BricoPacks\Crystal Clear\YzShadow\YzShadow.dll
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\scrchpg.dll
c:\progra~1\WINDOW~3\wmpband.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\msi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\stobject.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\midimap.dll
.
Heure de fin: 2010-05-21 21:15:36
ComboFix-quarantined-files.txt 2010-05-21 20:15
Avant-CF: 3 982 381 056 octets libres
Après-CF: 3 964 121 088 octets libres
- - End Of File - - 2C761AE0B377BF5974C4986A120C1076
Euh... bon ça fait tellement longtemps qu'on a commencé...
Tu as toujours des soucis avec ce dossier?
Tu as toujours des soucis avec ce dossier?
Télécharger sur le bureau
Gmer
= Clic sur ==> GMER Application: Gmer.zip
= Clic-droit sur l'archive Gmer
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= Double-clic sur Gmer qui vient de se créer
= Une fenêtre s'ouvre, clic Scan
Patienter jusqu'à la fin du scan
= Clic Save
= Choisir => bureau => nommer : rapport
Gmer
= Clic sur ==> GMER Application: Gmer.zip
= Clic-droit sur l'archive Gmer
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= Double-clic sur Gmer qui vient de se créer
= Une fenêtre s'ouvre, clic Scan
Patienter jusqu'à la fin du scan
= Clic Save
= Choisir => bureau => nommer : rapport