De l'aide svp je suis infectée
E___E___C___L
Messages postés
15
Statut
Membre
-
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Tigzy Messages postés 7983 Statut Contributeur sécurité -
bonjour, je viens vous demandez de l'aide car je suis la méthode prlimilaire de desinfection dans la rubrique astuce de votre site car j'ai des fenetres de pubs qui s'ouvrent tous le temps et sur msn sa envoi des liens à mes contacts et c'est des virus quand il clique dessus . Donc comme le dis votre rubique d'aide je vous poste le lien du site cijoint.fr:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijUyQXrRD.txt
voila merci d'avance pour votre aide
http://www.cijoint.fr/cjlink.php?file=cj201005/cijUyQXrRD.txt
voila merci d'avance pour votre aide
A voir également:
- De l'aide svp je suis infectée
- Comment savoir si une clé usb est infectée - Guide
- Je suis infectée par un virus qui ouvre des pages tout seul ✓ - Forum Virus
- Clé USB infectée ( .Spotlight-V100 ? ) - Forum Virus
- L application google semble être infectée huawei ✓ - Forum Virus
- Malware Android : attention à ces applications infectées par un cheval de Troie - Accueil - Virus
13 réponses
Salut
Télécharger sur le bureau Malwarebyte's Anti-Malware
= double-clic sur mbam-setup pour lancer l'installation
= Installer simplement sans rien modifier
= Ne pas décocher "Faire la mise à jour"
= si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
= Quand le programme lancé ==> cocher Exécuter un examen complet
= Clic Rechercher
= Eventuellement décocher les disque à ne pas analyser
= Clic Lancer l'examen
= En fin de scan ( 1h environ), si infection trouvée
==> Clic Afficher résultat
= Fermer vos applications en cours
= Vérifier si tout est coché et clic Supprimer la sélection
un rapport s'ouvre le copier et le coller dans la réponse
-----------
* Télécharge ZHPDiag
Capture
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: cijoint et colle le lien dans la réponse
Télécharger sur le bureau Malwarebyte's Anti-Malware
= double-clic sur mbam-setup pour lancer l'installation
= Installer simplement sans rien modifier
= Ne pas décocher "Faire la mise à jour"
= si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
= Quand le programme lancé ==> cocher Exécuter un examen complet
= Clic Rechercher
= Eventuellement décocher les disque à ne pas analyser
= Clic Lancer l'examen
= En fin de scan ( 1h environ), si infection trouvée
==> Clic Afficher résultat
= Fermer vos applications en cours
= Vérifier si tout est coché et clic Supprimer la sélection
un rapport s'ouvre le copier et le coller dans la réponse
-----------
* Télécharge ZHPDiag
Capture
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: cijoint et colle le lien dans la réponse
Y'a un truc qui va pas déjà , tu as Avast4 , Avast5 et McAfee.
Désinstalle Avast4 et McAfee
-----
* Téléchargez aswClear5.exe sur votre bureau
* Désactivez le système d'autoprotection avast!
ou alors redémarrez Windows en Mode sans Echec
* Exécutez l'utilitaire téléchargé
Si vous avez installé avast dans un dossier différent de celui par défaut retrouvez le en parcourrant votre disque avec le bouton "...". (Note: Faites attention! Le contenu de tout dossier que vous choisirez sera supprimé!)
Cliquez sur "Uninstall"
* Redémarrez votre ordinateur
Désinstalle Avast4 et McAfee
-----
* Téléchargez aswClear5.exe sur votre bureau
* Désactivez le système d'autoprotection avast!
ou alors redémarrez Windows en Mode sans Echec
* Exécutez l'utilitaire téléchargé
Si vous avez installé avast dans un dossier différent de celui par défaut retrouvez le en parcourrant votre disque avec le bouton "...". (Note: Faites attention! Le contenu de tout dossier que vous choisirez sera supprimé!)
Cliquez sur "Uninstall"
* Redémarrez votre ordinateur
voila le rapport de malwarebytes:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4068
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005
05/05/2010 13:53:39
mbam-log-2010-05-05 (13-53-39).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 116010
Temps écoulé: 5 minute(s), 47 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Trojan.VirTool) -> Delete on reboot.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-2045134538-7533455572-916705830-5909\yv8g67.exe,explorer.exe,C:\Users\tatan\AppData\Roaming\ebzbg.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D} (Worm.Prolaco.M) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome (Worm.Prolaco.M) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content (Worm.Prolaco.M) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Users\tatan\AppData\Roaming\sdra64.exe (Trojan.VirTool) -> Delete on reboot.
C:\Users\tatan\AppData\Roaming\BD3B.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2045134538-7533455572-916705830-5909\yv8g67.exe (Trojan.Dropper) -> Delete on reboot.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf (Worm.Prolaco.M) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul (Worm.Prolaco.M) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4068
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005
05/05/2010 13:53:39
mbam-log-2010-05-05 (13-53-39).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 116010
Temps écoulé: 5 minute(s), 47 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Trojan.VirTool) -> Delete on reboot.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-2045134538-7533455572-916705830-5909\yv8g67.exe,explorer.exe,C:\Users\tatan\AppData\Roaming\ebzbg.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D} (Worm.Prolaco.M) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome (Worm.Prolaco.M) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content (Worm.Prolaco.M) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Users\tatan\AppData\Roaming\sdra64.exe (Trojan.VirTool) -> Delete on reboot.
C:\Users\tatan\AppData\Roaming\BD3B.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2045134538-7533455572-916705830-5909\yv8g67.exe (Trojan.Dropper) -> Delete on reboot.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf (Worm.Prolaco.M) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul (Worm.Prolaco.M) -> Quarantined and deleted successfully.
voila le rapport de l'analyse compléte
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4068
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005
05/05/2010 15:39:19
mbam-log-2010-05-05 (15-39-19).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 208117
Temps écoulé: 1 heure(s), 6 minute(s), 53 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0992762029-5537661030-644263309-8614\yv8g67.exe,C:\RECYCLER\S-1-5-21-2045134538-7533455572-916705830-5909\yv8g67.exe,explorer.exe,C:\Users\tatan\AppData\Roaming\ebzbg.exe,Explorer.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-0992762029-5537661030-644263309-8614\yv8g67.exe (Worm.Autorun.B) -> Delete on reboot.
C:\Users\tatan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1NHRBLSH\dwdmnki[1].exe (Trojan.Ddox) -> Quarantined and deleted successfully.
C:\Users\tatan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YD4NVMMQ\dwemnk[1].exe (Trojan.Ddox) -> Quarantined and deleted successfully.
C:\Users\tatan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YD4NVMMQ\dwkjo[1].exe (Trojan.Ddox) -> Quarantined and deleted successfully.
C:\Users\tatan\AppData\Local\Temp\253.exe (Trojan.Ddox) -> Quarantined and deleted successfully.
C:\Users\tatan\AppData\Local\Temp\498.exe (Trojan.Ddox) -> Quarantined and deleted successfully.
C:\Users\tatan\AppData\Local\Temp\829.exe (Trojan.Ddox) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4068
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005
05/05/2010 15:39:19
mbam-log-2010-05-05 (15-39-19).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 208117
Temps écoulé: 1 heure(s), 6 minute(s), 53 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0992762029-5537661030-644263309-8614\yv8g67.exe,C:\RECYCLER\S-1-5-21-2045134538-7533455572-916705830-5909\yv8g67.exe,explorer.exe,C:\Users\tatan\AppData\Roaming\ebzbg.exe,Explorer.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-0992762029-5537661030-644263309-8614\yv8g67.exe (Worm.Autorun.B) -> Delete on reboot.
C:\Users\tatan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1NHRBLSH\dwdmnki[1].exe (Trojan.Ddox) -> Quarantined and deleted successfully.
C:\Users\tatan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YD4NVMMQ\dwemnk[1].exe (Trojan.Ddox) -> Quarantined and deleted successfully.
C:\Users\tatan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YD4NVMMQ\dwkjo[1].exe (Trojan.Ddox) -> Quarantined and deleted successfully.
C:\Users\tatan\AppData\Local\Temp\253.exe (Trojan.Ddox) -> Quarantined and deleted successfully.
C:\Users\tatan\AppData\Local\Temp\498.exe (Trojan.Ddox) -> Quarantined and deleted successfully.
C:\Users\tatan\AppData\Local\Temp\829.exe (Trojan.Ddox) -> Quarantined and deleted successfully.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
et voila le lien de cijoint
http://www.cijoint.fr/cjlink.php?file=cj201005/cijM3A7dPe.txt
et maintenant je fais quoi?
http://www.cijoint.fr/cjlink.php?file=cj201005/cijM3A7dPe.txt
et maintenant je fais quoi?
Ok, on enchaîne.
Télécharger et enregistrer sur le bureau
Combofix
=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
Télécharger et enregistrer sur le bureau
Combofix
=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
voila le rapport
ComboFix 10-05-04.06 - tatan 05/05/2010 16:42:37.1.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Basique 6.0.6002.2.1252.33.1036.18.2038.1138 [GMT 2:00]
Lancé depuis: c:\users\tatan\Downloads\ComboFix.exe
AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated) {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}
SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\$recycle.bin\S-1-5-21-1187131972-786057027-3556547271-500
c:\recycler\S-1-5-21-0131947250-4128821179-310463314-4736
c:\recycler\S-1-5-21-0243744909-4795990978-188583860-5689
c:\recycler\S-1-5-21-0263464071-4745853982-850158679-3903
c:\recycler\S-1-5-21-0321916739-7218061227-972147161-9541
c:\recycler\S-1-5-21-0359795344-2596042768-225122872-6931
c:\recycler\S-1-5-21-0624359355-5648255495-697018927-5489
c:\recycler\S-1-5-21-0992762029-5537661030-644263309-8614
c:\recycler\S-1-5-21-1192351211-2231765533-616425830-1205
c:\recycler\S-1-5-21-1366110527-1739655251-398556275-9454
c:\recycler\S-1-5-21-1436180599-6583090845-358775877-0821
c:\recycler\S-1-5-21-2045134538-7533455572-916705830-5909
c:\recycler\S-1-5-21-2128090550-1130222452-856087057-8856
c:\recycler\S-1-5-21-2182249778-2397527827-949130164-5111
c:\recycler\S-1-5-21-2213527172-5122963680-859965825-8517
c:\recycler\S-1-5-21-2772038498-5924633694-514351812-7558
c:\recycler\S-1-5-21-2898335755-8944349509-510849855-3649
c:\recycler\S-1-5-21-3067937365-6061247196-923423581-0316
c:\recycler\S-1-5-21-3125366941-0013255825-018246311-0850
c:\recycler\S-1-5-21-3160489485-9458919146-970899235-7359
c:\recycler\S-1-5-21-3192485799-4258549367-473346950-6365
c:\recycler\S-1-5-21-3516677547-8703607751-108192358-5852
c:\recycler\S-1-5-21-3604862674-0594247176-439954794-5226
c:\recycler\S-1-5-21-4310443748-5875290927-737073492-6716
c:\recycler\S-1-5-21-4358037447-7080869793-210011567-7143
c:\recycler\S-1-5-21-4377011933-6284870903-823735768-6953
c:\recycler\S-1-5-21-4401342954-6122438907-220411952-5354
c:\recycler\S-1-5-21-4543139986-0456407717-330386652-5383
c:\recycler\S-1-5-21-4669932530-6636268574-579328619-1170
c:\recycler\S-1-5-21-4878712248-7049906030-898441096-5522
c:\recycler\S-1-5-21-4936676866-6101682401-305619816-7778
c:\recycler\S-1-5-21-5029620997-0930758697-033819563-8666
c:\recycler\S-1-5-21-5142384173-8078803120-129025062-7166
c:\recycler\S-1-5-21-5420122468-7696464542-628099123-4339
c:\recycler\S-1-5-21-5426210634-6606128393-745083745-2954
c:\recycler\S-1-5-21-5501533012-0788850018-536952508-6246
c:\recycler\S-1-5-21-5933065461-6527130519-185667924-7545
c:\recycler\S-1-5-21-6448084153-2566828442-062641654-6351
c:\recycler\S-1-5-21-6680625050-5360621526-393813047-1009
c:\recycler\S-1-5-21-6693322782-6157848192-538714330-0201
c:\recycler\S-1-5-21-7127705505-2086863489-279735170-8526
c:\recycler\S-1-5-21-7209594942-6640737328-664138692-1272
c:\recycler\S-1-5-21-7490675343-1720102850-225101722-5557
c:\recycler\S-1-5-21-7730826927-8815293512-752357599-7799
c:\recycler\S-1-5-21-7889718307-3177950129-431219411-6367
c:\recycler\S-1-5-21-7962593198-0684098513-008024572-8971
c:\recycler\S-1-5-21-8088277851-6932704764-318553581-0935
c:\recycler\S-1-5-21-8259565034-6964431531-536619590-5875
c:\recycler\S-1-5-21-8389774813-3363254852-807398772-1103
c:\recycler\S-1-5-21-8420637614-9859407858-717278703-2112
c:\recycler\S-1-5-21-8474776377-4944317595-165159610-2280
c:\recycler\S-1-5-21-8483310109-3739283383-463050291-7173
c:\recycler\S-1-5-21-8512011684-5679102965-419402114-8076
c:\recycler\S-1-5-21-8556518175-9287571008-880694439-0710
c:\recycler\S-1-5-21-8874964047-9553245601-344864719-4419
c:\recycler\S-1-5-21-8899166517-2931236968-839602361-1750
c:\recycler\S-1-5-21-9045781575-8974369800-367235717-2584
c:\recycler\S-1-5-21-9315128628-5641096944-882832395-6936
c:\recycler\S-1-5-21-9318002409-4091027790-610972772-6078
c:\recycler\S-1-5-21-9476423851-9416942967-075439603-9929
c:\recycler\S-1-5-21-9957149365-6658844818-056721271-7434
c:\users\tatan\AppData\Local\Temp\jna6360069890574630939.tmp
c:\users\tatan\AppData\Roaming\chrtmp
c:\users\tatan\AppData\Roaming\ebzbg.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-05 au 2010-05-05 ))))))))))))))))))))))))))))))))))))
.
2010-05-05 14:50 . 2010-05-05 14:50 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-05-05 12:25 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-05 12:25 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-05 11:40 . 2010-05-05 11:40 -------- d-----w- c:\users\tatan\AppData\Roaming\Malwarebytes
2010-05-05 11:40 . 2010-05-05 12:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-05 11:40 . 2010-05-05 11:40 -------- d-----w- c:\programdata\Malwarebytes
2010-05-05 11:33 . 2010-05-05 11:33 -------- d-----w- c:\users\tatan\AppData\Roaming\Yahoo!
2010-05-05 11:33 . 2010-05-05 14:51 -------- d-----w- c:\program files\Yahoo!
2010-05-05 11:33 . 2010-05-05 11:33 -------- d-----w- c:\program files\CCleaner
2010-05-05 11:17 . 2010-05-05 14:01 -------- d-----w- c:\program files\ZHPDiag
2010-04-19 13:01 . 2010-04-19 18:13 -------- d-----w- c:\program files\Pogo FR
2010-04-18 19:54 . 2010-04-19 07:11 -------- d-sh--w- c:\programdata\SysWoW32
2010-04-18 19:54 . 2010-04-19 07:11 -------- d-----w- c:\programdata\3729096
2010-04-15 01:48 . 2010-04-20 16:20 1356 ----a-w- c:\users\tatan\AppData\Local\d3d9caps.dat
2010-04-14 07:11 . 2010-02-18 14:07 904576 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-04-14 07:11 . 2010-02-18 11:28 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
2010-04-14 07:11 . 2010-02-18 13:30 200704 ----a-w- c:\windows\system32\iphlpsvc.dll
2010-04-14 06:44 . 2010-02-23 11:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-04-14 06:44 . 2010-02-23 11:10 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-04-14 06:44 . 2010-02-23 11:10 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-14 06:44 . 2010-02-18 14:07 3600776 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-04-14 06:44 . 2010-02-18 14:07 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-04-14 06:43 . 2010-03-04 17:33 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-04-14 06:16 . 2009-12-23 11:33 172032 ----a-w- c:\windows\system32\wintrust.dll
2010-04-14 06:16 . 2010-01-13 17:34 98304 ----a-w- c:\windows\system32\cabview.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-05 14:55 . 2009-12-11 22:25 -------- d-----w- c:\users\tatan\AppData\Roaming\LimeWire
2010-05-05 14:51 . 2009-08-27 19:10 -------- d-----w- c:\program files\Norman
2010-05-05 13:51 . 2009-09-01 21:48 -------- d-----w- c:\users\tatan\AppData\Roaming\vlc
2010-05-05 13:49 . 2008-01-21 07:23 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-05 13:49 . 2008-01-21 07:23 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-05 11:28 . 2010-02-22 23:48 -------- d-sh--w- c:\users\tatan\AppData\Roaming\lowsec
2010-05-04 18:29 . 2010-01-08 22:09 1286 ----a-w- c:\users\tatan\AppData\Roaming\wklnhst.dat
2010-05-02 17:17 . 2009-09-04 22:20 -------- d-----w- c:\users\tatan\AppData\Roaming\dvdcss
2010-04-21 15:30 . 2009-12-03 17:48 -------- d-----w- c:\programdata\McAfee Security Scan
2010-04-15 01:21 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-04-15 01:05 . 2008-07-16 03:40 -------- d-----w- c:\programdata\Microsoft Help
2010-03-09 16:25 . 2010-03-30 21:07 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 15:42 . 2010-03-30 21:07 834048 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 08:16 . 2009-10-02 22:33 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-24 07:46 . 2009-08-27 20:42 72944 ----a-w- c:\users\tatan\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-12 10:32 . 2010-02-25 07:22 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-02-10 09:00 . 2010-02-20 01:28 84912 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100219.002\NAVENG.SYS
2010-02-10 09:00 . 2010-02-20 01:28 1324720 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100219.002\NAVEX15.SYS
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-27 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-06 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-06 154392]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-06 138008]
"RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-07-26 192512]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-17 102400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"FSCRecovery"="c:\program files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe" [2008-05-08 268096]
"Norman ZANDA"="c:\program files\Norman\Npm\bin\ZLH.EXE" [2008-06-02 277616]
"Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-05-28 20480]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-01 524632]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-11 149280]
"Skytel"="Skytel.exe" [2007-06-15 1826816]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
"fsc-reg"="c:\programdata\fsc-reg\fscreg.exe" [2007-11-08 533264]
c:\users\tatan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0aswBoot.exe /M:353215bcebb
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):2c,60,f5,1b,4f,82,ca,01
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-08-31 64160]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-03-01 1029456]
S2 NVOY;Norman's Very Own supplY of resources;c:\program files\Norman\npm\bin\nvoy.exe [2008-02-07 121912]
S3 NVCScheduler;Norman Virus Control Scheduler;c:\program files\Norman\Npm\bin\NVCSCHED.EXE [2007-09-18 154680]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
2010-05-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 19:41]
2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 19:18]
2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 19:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-nnccx1x - c:\windows\system32\c0hxcxnnh.exe
HKCU-Run-chxcxnn - c:\windows\system32\nsnx5nnhn.exe
HKCU-Run-lqbwb8l - c:\windows\system32\4wlggbg.exe
HKCU-Run-glbg2w - c:\windows\system32\9bb0q1q.exe
HKCU-Run-mwr0h - c:\windows\system32\rb4w0mbmmbm.exe
HKCU-Run-rwhbh - c:\windows\system32\wrr2m981.exe
HKCU-Run-akkpavp - c:\windows\system32\ffafafpk.exe
HKCU-Run-grbrbb - c:\windows\system32\ggwwgmb037.exe
HKCU-Run-wrrwrg6 - c:\windows\system32\6m4b5mg.exe
HKCU-Run-sniid5y - c:\windows\system32\sd42yid6.exe
HKCU-Run-wccwwcw - c:\windows\system32\h9m6cwm6h.exe
HKCU-Run-rcwmm2h - c:\windows\system32\hrccw0mchm7.exe
HKCU-Run-sysis - c:\windows\system32\5x2d5ix.exe
HKCU-Run-nyiid0 - c:\windows\system32\inxsxi5ssn.exe
HKCU-Run-xrhhx6 - c:\windows\system32\hhcchxhc1.exe
HKCU-Run-hmmrcmm - c:\windows\system32\h72rc1c2mh1.exe
HKCU-Run-ujeju5e - c:\windows\system32\jueejupjj.exe
HKCU-Run-qgavvqg - c:\windows\system32\gvvlqlg5vll.exe
HKCU-Run-glqbl - c:\windows\system32\vlqlbbvbvbl.exe
HKCU-Run-vggbqql - c:\windows\system32\gbbgqlgvqlb.exe
HKCU-Run-rrhxr - c:\windows\system32\cchcc2h5mx.exe
HKCU-Run-mccrrxr - c:\windows\system32\hmchchhxmhc.exe
HKCU-Run-hxxr1h - c:\windows\system32\x4rcmrrmm.exe
HKCU-Run-dttoo5d - c:\windows\system32\d1oyydojdj.exe
HKCU-Run-hhm7w - c:\windows\system32\wbrcmmrm.exe
HKCU-Run-mmrh0 - c:\windows\system32\wwr5mrmr.exe
HKCU-Run-rhrb1m - c:\windows\system32\mb9wwrm0bbr.exe
HKCU-Run-whcc98 - c:\windows\system32\mhcrmhwr8m.exe
HKCU-Run-wmmcrmh - c:\windows\system32\cw0mchm7.exe
HKCU-Run-wmm6r - c:\windows\system32\mrc4mmh5cwr.exe
HKCU-Run-fuppu7u - c:\windows\system32\uffp9ufkkp.exe
HKCU-Run-kkzzpzp - c:\windows\system32\z2pz8895u.exe
HKCU-Run-rmm3b - c:\windows\system32\mrbmh1mhwb.exe
HKCU-Run-mmrr7b - c:\windows\system32\hbb1hmbwhrh.exe
HKCU-Run-cwccw - c:\windows\system32\6mhm2r5.exe
HKCU-Run-cmmhh - c:\windows\system32\6hwhr1c.exe
HKCU-Run-cwcwccr - c:\windows\system32\rrwhcwwmm.exe
HKCU-Run-cxhxxxx - c:\windows\system32\cxh4rhhmm1h.exe
HKCU-Run-bwwgr5b - c:\windows\system32\7l9bgrb.exe
HKCU-Run-gqqq3v - c:\windows\system32\b1vb7llgv.exe
HKCU-Run-qggbb - c:\windows\system32\ggbbgbq1vq.exe
HKCU-Run-qvgqq - c:\windows\system32\vq1gqqllq7.exe
HKCU-Run-snni1 - c:\windows\system32\xxnc6xxi.exe
HKCU-Run-yejtet - c:\windows\system32\jteey0oetto.exe
HKCU-Run-ssixixs - c:\windows\system32\nxiisxii.exe
HKCU-Run-nddidd - c:\windows\system32\dis9s1issxi.exe
HKCU-Run-dddssnn - c:\windows\system32\dxisd1si.exe
HKCU-Run-wwl7b - c:\windows\system32\vbwqg1bglwq.exe
HKCU-Run-bqqlbq - c:\windows\system32\l6llgbbw.exe
HKCU-Run-ggbgq7 - c:\windows\system32\1gwwg6l.exe
HKCU-Run-fafavfv - c:\windows\system32\aqf4ffvvf.exe
HKCU-Run-jjdod8 - c:\windows\system32\jtd0yyyo3d.exe
HKCU-Run-faavqaa - c:\windows\system32\kvkfaqqvf4q.exe
HKCU-Run-vfqfav - c:\windows\system32\5qal9aq.exe
HKCU-Run-flvllq - c:\windows\system32\f8aav1l6a.exe
HKCU-Run-mbwrhh - c:\windows\system32\3bwmwr6.exe
HKCU-Run-rbbwmh - c:\windows\system32\w7whrrh6w.exe
HKCU-Run-rmrbmm - c:\windows\system32\rm1bmmrbwb.exe
HKCU-Run-qqlbbq - c:\windows\system32\bqqlqq6g7.exe
HKCU-Run-gwwbww - c:\windows\system32\bqlgglbg.exe
HKLM-Run-CtrlVol - c:\program files\Launch Manager\CtrlVol.exe
HKLM-Run-LaunchAp - c:\program files\Launch Manager\LaunchAp.exe
HKLM-Run-Wbutton - c:\program files\Launch Manager\WButton.exe
HKLM-Run-NPCTray - c:\program files\Norman\npc\bin\npc_tray.exe
HKLM-Run-FBSSA - c:\program files\SGPSA\ie3sh.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-05 16:53
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\program files\Launch Manager\CtrlVol.exe?????H????????????4???X&w????????????0???$???????d???4? w?Y????????&wR?&w??????????????????F?4???o??v????????x???t???+?A?????????J?A????1????|?????F?$l@?H???????????? A??/?1????J?A?[?@??????v@????????1??@????????
LaunchAp = c:\program files\Launch Manager\LaunchAp.exe????H????????????4???X&w????????????0???$???????d???4? w?Y????????&wR?&w??????????????????F?4???o??v????????x???t???+?A?????????J?A????1????|?????F?$l@?H???????????? A??/?1????J?A?[?@??????v@????????1??@????????
Wbutton = c:\program files\Launch Manager\WButton.exe?????H????????????4???X&w????????????0???$???????d???4? w?Y????????&wR?&w??????????????????F?4???o??v????????x???t???+?A?????????J?A????1????|?????F?$l@?H???????????? A??/?1????J?A?[?@??????v@????????1??@????????
FBSSA = c:\program files\SGPSA\ie3sh.exe?et Explorer\URLSearchHooks?????????}&c=web&s=DSP&v=19&tid={6187905C
Recherche de fichiers cachés ...
c:\users\tatan\AppData\Roaming\LimeWire\mozilla-profile\places.sqlite-journal 0 bytes
Scan terminé avec succès
Fichiers cachés: 1
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Norman\Npm\Bin\Elogsvc.exe
c:\program files\Norman\Npm\Bin\Zanda.exe
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
c:\program files\Norman\Npm\bin\NJEEVES.EXE
c:\windows\system32\wbem\unsecapp.exe
c:\windows\RtHDVCpl.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Synaptics\SynTP\SynTPEnh.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\consent.exe
.
**************************************************************************
.
Heure de fin: 2010-05-05 17:00:25 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-05 15:00
Avant-CF: 20 610 412 544 octets libres
Après-CF: 20 671 787 008 octets libres
- - End Of File - - 236EC67F7014FE9803339D425811F960
ComboFix 10-05-04.06 - tatan 05/05/2010 16:42:37.1.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Basique 6.0.6002.2.1252.33.1036.18.2038.1138 [GMT 2:00]
Lancé depuis: c:\users\tatan\Downloads\ComboFix.exe
AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated) {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}
SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\$recycle.bin\S-1-5-21-1187131972-786057027-3556547271-500
c:\recycler\S-1-5-21-0131947250-4128821179-310463314-4736
c:\recycler\S-1-5-21-0243744909-4795990978-188583860-5689
c:\recycler\S-1-5-21-0263464071-4745853982-850158679-3903
c:\recycler\S-1-5-21-0321916739-7218061227-972147161-9541
c:\recycler\S-1-5-21-0359795344-2596042768-225122872-6931
c:\recycler\S-1-5-21-0624359355-5648255495-697018927-5489
c:\recycler\S-1-5-21-0992762029-5537661030-644263309-8614
c:\recycler\S-1-5-21-1192351211-2231765533-616425830-1205
c:\recycler\S-1-5-21-1366110527-1739655251-398556275-9454
c:\recycler\S-1-5-21-1436180599-6583090845-358775877-0821
c:\recycler\S-1-5-21-2045134538-7533455572-916705830-5909
c:\recycler\S-1-5-21-2128090550-1130222452-856087057-8856
c:\recycler\S-1-5-21-2182249778-2397527827-949130164-5111
c:\recycler\S-1-5-21-2213527172-5122963680-859965825-8517
c:\recycler\S-1-5-21-2772038498-5924633694-514351812-7558
c:\recycler\S-1-5-21-2898335755-8944349509-510849855-3649
c:\recycler\S-1-5-21-3067937365-6061247196-923423581-0316
c:\recycler\S-1-5-21-3125366941-0013255825-018246311-0850
c:\recycler\S-1-5-21-3160489485-9458919146-970899235-7359
c:\recycler\S-1-5-21-3192485799-4258549367-473346950-6365
c:\recycler\S-1-5-21-3516677547-8703607751-108192358-5852
c:\recycler\S-1-5-21-3604862674-0594247176-439954794-5226
c:\recycler\S-1-5-21-4310443748-5875290927-737073492-6716
c:\recycler\S-1-5-21-4358037447-7080869793-210011567-7143
c:\recycler\S-1-5-21-4377011933-6284870903-823735768-6953
c:\recycler\S-1-5-21-4401342954-6122438907-220411952-5354
c:\recycler\S-1-5-21-4543139986-0456407717-330386652-5383
c:\recycler\S-1-5-21-4669932530-6636268574-579328619-1170
c:\recycler\S-1-5-21-4878712248-7049906030-898441096-5522
c:\recycler\S-1-5-21-4936676866-6101682401-305619816-7778
c:\recycler\S-1-5-21-5029620997-0930758697-033819563-8666
c:\recycler\S-1-5-21-5142384173-8078803120-129025062-7166
c:\recycler\S-1-5-21-5420122468-7696464542-628099123-4339
c:\recycler\S-1-5-21-5426210634-6606128393-745083745-2954
c:\recycler\S-1-5-21-5501533012-0788850018-536952508-6246
c:\recycler\S-1-5-21-5933065461-6527130519-185667924-7545
c:\recycler\S-1-5-21-6448084153-2566828442-062641654-6351
c:\recycler\S-1-5-21-6680625050-5360621526-393813047-1009
c:\recycler\S-1-5-21-6693322782-6157848192-538714330-0201
c:\recycler\S-1-5-21-7127705505-2086863489-279735170-8526
c:\recycler\S-1-5-21-7209594942-6640737328-664138692-1272
c:\recycler\S-1-5-21-7490675343-1720102850-225101722-5557
c:\recycler\S-1-5-21-7730826927-8815293512-752357599-7799
c:\recycler\S-1-5-21-7889718307-3177950129-431219411-6367
c:\recycler\S-1-5-21-7962593198-0684098513-008024572-8971
c:\recycler\S-1-5-21-8088277851-6932704764-318553581-0935
c:\recycler\S-1-5-21-8259565034-6964431531-536619590-5875
c:\recycler\S-1-5-21-8389774813-3363254852-807398772-1103
c:\recycler\S-1-5-21-8420637614-9859407858-717278703-2112
c:\recycler\S-1-5-21-8474776377-4944317595-165159610-2280
c:\recycler\S-1-5-21-8483310109-3739283383-463050291-7173
c:\recycler\S-1-5-21-8512011684-5679102965-419402114-8076
c:\recycler\S-1-5-21-8556518175-9287571008-880694439-0710
c:\recycler\S-1-5-21-8874964047-9553245601-344864719-4419
c:\recycler\S-1-5-21-8899166517-2931236968-839602361-1750
c:\recycler\S-1-5-21-9045781575-8974369800-367235717-2584
c:\recycler\S-1-5-21-9315128628-5641096944-882832395-6936
c:\recycler\S-1-5-21-9318002409-4091027790-610972772-6078
c:\recycler\S-1-5-21-9476423851-9416942967-075439603-9929
c:\recycler\S-1-5-21-9957149365-6658844818-056721271-7434
c:\users\tatan\AppData\Local\Temp\jna6360069890574630939.tmp
c:\users\tatan\AppData\Roaming\chrtmp
c:\users\tatan\AppData\Roaming\ebzbg.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-05 au 2010-05-05 ))))))))))))))))))))))))))))))))))))
.
2010-05-05 14:50 . 2010-05-05 14:50 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-05-05 12:25 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-05 12:25 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-05 11:40 . 2010-05-05 11:40 -------- d-----w- c:\users\tatan\AppData\Roaming\Malwarebytes
2010-05-05 11:40 . 2010-05-05 12:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-05 11:40 . 2010-05-05 11:40 -------- d-----w- c:\programdata\Malwarebytes
2010-05-05 11:33 . 2010-05-05 11:33 -------- d-----w- c:\users\tatan\AppData\Roaming\Yahoo!
2010-05-05 11:33 . 2010-05-05 14:51 -------- d-----w- c:\program files\Yahoo!
2010-05-05 11:33 . 2010-05-05 11:33 -------- d-----w- c:\program files\CCleaner
2010-05-05 11:17 . 2010-05-05 14:01 -------- d-----w- c:\program files\ZHPDiag
2010-04-19 13:01 . 2010-04-19 18:13 -------- d-----w- c:\program files\Pogo FR
2010-04-18 19:54 . 2010-04-19 07:11 -------- d-sh--w- c:\programdata\SysWoW32
2010-04-18 19:54 . 2010-04-19 07:11 -------- d-----w- c:\programdata\3729096
2010-04-15 01:48 . 2010-04-20 16:20 1356 ----a-w- c:\users\tatan\AppData\Local\d3d9caps.dat
2010-04-14 07:11 . 2010-02-18 14:07 904576 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-04-14 07:11 . 2010-02-18 11:28 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
2010-04-14 07:11 . 2010-02-18 13:30 200704 ----a-w- c:\windows\system32\iphlpsvc.dll
2010-04-14 06:44 . 2010-02-23 11:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-04-14 06:44 . 2010-02-23 11:10 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-04-14 06:44 . 2010-02-23 11:10 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-14 06:44 . 2010-02-18 14:07 3600776 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-04-14 06:44 . 2010-02-18 14:07 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-04-14 06:43 . 2010-03-04 17:33 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-04-14 06:16 . 2009-12-23 11:33 172032 ----a-w- c:\windows\system32\wintrust.dll
2010-04-14 06:16 . 2010-01-13 17:34 98304 ----a-w- c:\windows\system32\cabview.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-05 14:55 . 2009-12-11 22:25 -------- d-----w- c:\users\tatan\AppData\Roaming\LimeWire
2010-05-05 14:51 . 2009-08-27 19:10 -------- d-----w- c:\program files\Norman
2010-05-05 13:51 . 2009-09-01 21:48 -------- d-----w- c:\users\tatan\AppData\Roaming\vlc
2010-05-05 13:49 . 2008-01-21 07:23 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-05 13:49 . 2008-01-21 07:23 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-05 11:28 . 2010-02-22 23:48 -------- d-sh--w- c:\users\tatan\AppData\Roaming\lowsec
2010-05-04 18:29 . 2010-01-08 22:09 1286 ----a-w- c:\users\tatan\AppData\Roaming\wklnhst.dat
2010-05-02 17:17 . 2009-09-04 22:20 -------- d-----w- c:\users\tatan\AppData\Roaming\dvdcss
2010-04-21 15:30 . 2009-12-03 17:48 -------- d-----w- c:\programdata\McAfee Security Scan
2010-04-15 01:21 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-04-15 01:05 . 2008-07-16 03:40 -------- d-----w- c:\programdata\Microsoft Help
2010-03-09 16:25 . 2010-03-30 21:07 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 15:42 . 2010-03-30 21:07 834048 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 08:16 . 2009-10-02 22:33 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-24 07:46 . 2009-08-27 20:42 72944 ----a-w- c:\users\tatan\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-12 10:32 . 2010-02-25 07:22 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-02-10 09:00 . 2010-02-20 01:28 84912 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100219.002\NAVENG.SYS
2010-02-10 09:00 . 2010-02-20 01:28 1324720 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100219.002\NAVEX15.SYS
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-27 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-06 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-06 154392]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-06 138008]
"RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-07-26 192512]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-17 102400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"FSCRecovery"="c:\program files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe" [2008-05-08 268096]
"Norman ZANDA"="c:\program files\Norman\Npm\bin\ZLH.EXE" [2008-06-02 277616]
"Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-05-28 20480]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-01 524632]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-11 149280]
"Skytel"="Skytel.exe" [2007-06-15 1826816]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
"fsc-reg"="c:\programdata\fsc-reg\fscreg.exe" [2007-11-08 533264]
c:\users\tatan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0aswBoot.exe /M:353215bcebb
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):2c,60,f5,1b,4f,82,ca,01
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-08-31 64160]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-03-01 1029456]
S2 NVOY;Norman's Very Own supplY of resources;c:\program files\Norman\npm\bin\nvoy.exe [2008-02-07 121912]
S3 NVCScheduler;Norman Virus Control Scheduler;c:\program files\Norman\Npm\bin\NVCSCHED.EXE [2007-09-18 154680]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
2010-05-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 19:41]
2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 19:18]
2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 19:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-nnccx1x - c:\windows\system32\c0hxcxnnh.exe
HKCU-Run-chxcxnn - c:\windows\system32\nsnx5nnhn.exe
HKCU-Run-lqbwb8l - c:\windows\system32\4wlggbg.exe
HKCU-Run-glbg2w - c:\windows\system32\9bb0q1q.exe
HKCU-Run-mwr0h - c:\windows\system32\rb4w0mbmmbm.exe
HKCU-Run-rwhbh - c:\windows\system32\wrr2m981.exe
HKCU-Run-akkpavp - c:\windows\system32\ffafafpk.exe
HKCU-Run-grbrbb - c:\windows\system32\ggwwgmb037.exe
HKCU-Run-wrrwrg6 - c:\windows\system32\6m4b5mg.exe
HKCU-Run-sniid5y - c:\windows\system32\sd42yid6.exe
HKCU-Run-wccwwcw - c:\windows\system32\h9m6cwm6h.exe
HKCU-Run-rcwmm2h - c:\windows\system32\hrccw0mchm7.exe
HKCU-Run-sysis - c:\windows\system32\5x2d5ix.exe
HKCU-Run-nyiid0 - c:\windows\system32\inxsxi5ssn.exe
HKCU-Run-xrhhx6 - c:\windows\system32\hhcchxhc1.exe
HKCU-Run-hmmrcmm - c:\windows\system32\h72rc1c2mh1.exe
HKCU-Run-ujeju5e - c:\windows\system32\jueejupjj.exe
HKCU-Run-qgavvqg - c:\windows\system32\gvvlqlg5vll.exe
HKCU-Run-glqbl - c:\windows\system32\vlqlbbvbvbl.exe
HKCU-Run-vggbqql - c:\windows\system32\gbbgqlgvqlb.exe
HKCU-Run-rrhxr - c:\windows\system32\cchcc2h5mx.exe
HKCU-Run-mccrrxr - c:\windows\system32\hmchchhxmhc.exe
HKCU-Run-hxxr1h - c:\windows\system32\x4rcmrrmm.exe
HKCU-Run-dttoo5d - c:\windows\system32\d1oyydojdj.exe
HKCU-Run-hhm7w - c:\windows\system32\wbrcmmrm.exe
HKCU-Run-mmrh0 - c:\windows\system32\wwr5mrmr.exe
HKCU-Run-rhrb1m - c:\windows\system32\mb9wwrm0bbr.exe
HKCU-Run-whcc98 - c:\windows\system32\mhcrmhwr8m.exe
HKCU-Run-wmmcrmh - c:\windows\system32\cw0mchm7.exe
HKCU-Run-wmm6r - c:\windows\system32\mrc4mmh5cwr.exe
HKCU-Run-fuppu7u - c:\windows\system32\uffp9ufkkp.exe
HKCU-Run-kkzzpzp - c:\windows\system32\z2pz8895u.exe
HKCU-Run-rmm3b - c:\windows\system32\mrbmh1mhwb.exe
HKCU-Run-mmrr7b - c:\windows\system32\hbb1hmbwhrh.exe
HKCU-Run-cwccw - c:\windows\system32\6mhm2r5.exe
HKCU-Run-cmmhh - c:\windows\system32\6hwhr1c.exe
HKCU-Run-cwcwccr - c:\windows\system32\rrwhcwwmm.exe
HKCU-Run-cxhxxxx - c:\windows\system32\cxh4rhhmm1h.exe
HKCU-Run-bwwgr5b - c:\windows\system32\7l9bgrb.exe
HKCU-Run-gqqq3v - c:\windows\system32\b1vb7llgv.exe
HKCU-Run-qggbb - c:\windows\system32\ggbbgbq1vq.exe
HKCU-Run-qvgqq - c:\windows\system32\vq1gqqllq7.exe
HKCU-Run-snni1 - c:\windows\system32\xxnc6xxi.exe
HKCU-Run-yejtet - c:\windows\system32\jteey0oetto.exe
HKCU-Run-ssixixs - c:\windows\system32\nxiisxii.exe
HKCU-Run-nddidd - c:\windows\system32\dis9s1issxi.exe
HKCU-Run-dddssnn - c:\windows\system32\dxisd1si.exe
HKCU-Run-wwl7b - c:\windows\system32\vbwqg1bglwq.exe
HKCU-Run-bqqlbq - c:\windows\system32\l6llgbbw.exe
HKCU-Run-ggbgq7 - c:\windows\system32\1gwwg6l.exe
HKCU-Run-fafavfv - c:\windows\system32\aqf4ffvvf.exe
HKCU-Run-jjdod8 - c:\windows\system32\jtd0yyyo3d.exe
HKCU-Run-faavqaa - c:\windows\system32\kvkfaqqvf4q.exe
HKCU-Run-vfqfav - c:\windows\system32\5qal9aq.exe
HKCU-Run-flvllq - c:\windows\system32\f8aav1l6a.exe
HKCU-Run-mbwrhh - c:\windows\system32\3bwmwr6.exe
HKCU-Run-rbbwmh - c:\windows\system32\w7whrrh6w.exe
HKCU-Run-rmrbmm - c:\windows\system32\rm1bmmrbwb.exe
HKCU-Run-qqlbbq - c:\windows\system32\bqqlqq6g7.exe
HKCU-Run-gwwbww - c:\windows\system32\bqlgglbg.exe
HKLM-Run-CtrlVol - c:\program files\Launch Manager\CtrlVol.exe
HKLM-Run-LaunchAp - c:\program files\Launch Manager\LaunchAp.exe
HKLM-Run-Wbutton - c:\program files\Launch Manager\WButton.exe
HKLM-Run-NPCTray - c:\program files\Norman\npc\bin\npc_tray.exe
HKLM-Run-FBSSA - c:\program files\SGPSA\ie3sh.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-05 16:53
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\program files\Launch Manager\CtrlVol.exe?????H????????????4???X&w????????????0???$???????d???4? w?Y????????&wR?&w??????????????????F?4???o??v????????x???t???+?A?????????J?A????1????|?????F?$l@?H???????????? A??/?1????J?A?[?@??????v@????????1??@????????
LaunchAp = c:\program files\Launch Manager\LaunchAp.exe????H????????????4???X&w????????????0???$???????d???4? w?Y????????&wR?&w??????????????????F?4???o??v????????x???t???+?A?????????J?A????1????|?????F?$l@?H???????????? A??/?1????J?A?[?@??????v@????????1??@????????
Wbutton = c:\program files\Launch Manager\WButton.exe?????H????????????4???X&w????????????0???$???????d???4? w?Y????????&wR?&w??????????????????F?4???o??v????????x???t???+?A?????????J?A????1????|?????F?$l@?H???????????? A??/?1????J?A?[?@??????v@????????1??@????????
FBSSA = c:\program files\SGPSA\ie3sh.exe?et Explorer\URLSearchHooks?????????}&c=web&s=DSP&v=19&tid={6187905C
Recherche de fichiers cachés ...
c:\users\tatan\AppData\Roaming\LimeWire\mozilla-profile\places.sqlite-journal 0 bytes
Scan terminé avec succès
Fichiers cachés: 1
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Norman\Npm\Bin\Elogsvc.exe
c:\program files\Norman\Npm\Bin\Zanda.exe
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
c:\program files\Norman\Npm\bin\NJEEVES.EXE
c:\windows\system32\wbem\unsecapp.exe
c:\windows\RtHDVCpl.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Synaptics\SynTP\SynTPEnh.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\consent.exe
.
**************************************************************************
.
Heure de fin: 2010-05-05 17:00:25 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-05 15:00
Avant-CF: 20 610 412 544 octets libres
Après-CF: 20 671 787 008 octets libres
- - End Of File - - 236EC67F7014FE9803339D425811F960
Ok.
Telecharge:
The avenger
* dezippe le , Lance le , executer en tant qu'administrateur sous vista
capture
Dans le cadre , sous Input Script here , copie_colle ce qui est en gras ci dessous et clic execute:
Files to delete:
c:\users\tatan\AppData\Roaming\wklnhst.dat
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
-----------
*Copier ceci:
c:\program files\Launch Manager\CtrlVol.exe
*Aller sur Virus Total
* Cliquer sur "Choisir"
*Coller dans "nom du fichier" et envoyer le fichier
*Puis coller le rapport généré
Telecharge:
The avenger
* dezippe le , Lance le , executer en tant qu'administrateur sous vista
capture
Dans le cadre , sous Input Script here , copie_colle ce qui est en gras ci dessous et clic execute:
Files to delete:
c:\users\tatan\AppData\Roaming\wklnhst.dat
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
-----------
*Copier ceci:
c:\program files\Launch Manager\CtrlVol.exe
*Aller sur Virus Total
* Cliquer sur "Choisir"
*Coller dans "nom du fichier" et envoyer le fichier
*Puis coller le rapport généré
rapport de the avenger:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Completed script processing.
*******************
Finished! Terminate.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Completed script processing.
*******************
Finished! Terminate.
J'ai du me planter.
Fais ceci
= Copier ce texte qui est en gras
File::
c:\users\tatan\AppData\Roaming\wklnhst.dat
------------------------------
= Ouvrir le Bloc-Notes
= Clic-droit ==> coller
= Faire ==> fichier ==> enregistrer sous ==> choisir Bureau
= Le nommer CFScript.txt
= Fermer le bloc-note
= prendre ce Bloc-note qui est sur le bureau par un clic-gauche continu
= L'amener dans Combofix et relacher le clic
= Combofix se relance seul
= mettre le rapport dans la réponse
Fais ceci
= Copier ce texte qui est en gras
File::
c:\users\tatan\AppData\Roaming\wklnhst.dat
------------------------------
= Ouvrir le Bloc-Notes
= Clic-droit ==> coller
= Faire ==> fichier ==> enregistrer sous ==> choisir Bureau
= Le nommer CFScript.txt
= Fermer le bloc-note
= prendre ce Bloc-note qui est sur le bureau par un clic-gauche continu
= L'amener dans Combofix et relacher le clic
= Combofix se relance seul
= mettre le rapport dans la réponse
voila l'autre rapport
ComboFix 10-05-05.06 - tatan 06/05/2010 10:10:07.2.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Basique 6.0.6002.2.1252.33.1036.18.2038.1163 [GMT 2:00]
Lancé depuis: c:\users\tatan\Documents\ComboFix.exe
Commutateurs utilisés :: c:\users\tatan\Documents\CFScript.txt
AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated) {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}
SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
FILE ::
"c:\users\tatan\AppData\Roaming\wklnhst.dat"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\users\tatan\AppData\Roaming\wklnhst.dat
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-06 au 2010-05-06 ))))))))))))))))))))))))))))))))))))
.
2010-05-06 08:14 . 2010-05-06 08:15 -------- d-----w- c:\users\tatan\AppData\Local\temp
2010-05-06 08:14 . 2010-05-06 08:14 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-05-06 08:14 . 2010-05-06 08:14 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-05-05 12:25 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-05 12:25 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-05 11:40 . 2010-05-05 11:40 -------- d-----w- c:\users\tatan\AppData\Roaming\Malwarebytes
2010-05-05 11:40 . 2010-05-05 12:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-05 11:40 . 2010-05-05 11:40 -------- d-----w- c:\programdata\Malwarebytes
2010-05-05 11:33 . 2010-05-05 11:33 -------- d-----w- c:\users\tatan\AppData\Roaming\Yahoo!
2010-05-05 11:33 . 2010-05-05 14:51 -------- d-----w- c:\program files\Yahoo!
2010-05-05 11:33 . 2010-05-05 11:33 -------- d-----w- c:\program files\CCleaner
2010-05-05 11:17 . 2010-05-05 14:01 -------- d-----w- c:\program files\ZHPDiag
2010-04-19 13:01 . 2010-04-19 18:13 -------- d-----w- c:\program files\Pogo FR
2010-04-18 19:54 . 2010-04-19 07:11 -------- d-sh--w- c:\programdata\SysWoW32
2010-04-18 19:54 . 2010-04-19 07:11 -------- d-----w- c:\programdata\3729096
2010-04-15 01:48 . 2010-04-20 16:20 1356 ----a-w- c:\users\tatan\AppData\Local\d3d9caps.dat
2010-04-14 07:11 . 2010-02-18 14:07 904576 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-04-14 07:11 . 2010-02-18 11:28 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
2010-04-14 07:11 . 2010-02-18 13:30 200704 ----a-w- c:\windows\system32\iphlpsvc.dll
2010-04-14 06:44 . 2010-02-23 11:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-04-14 06:44 . 2010-02-23 11:10 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-04-14 06:44 . 2010-02-23 11:10 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-14 06:44 . 2010-02-18 14:07 3600776 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-04-14 06:44 . 2010-02-18 14:07 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-04-14 06:43 . 2010-03-04 17:33 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-04-14 06:16 . 2009-12-23 11:33 172032 ----a-w- c:\windows\system32\wintrust.dll
2010-04-14 06:16 . 2010-01-13 17:34 98304 ----a-w- c:\windows\system32\cabview.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-06 07:29 . 2009-12-11 22:25 -------- d-----w- c:\users\tatan\AppData\Roaming\LimeWire
2010-05-06 06:54 . 2009-08-27 19:10 -------- d-----w- c:\program files\Norman
2010-05-05 14:57 . 2008-01-21 07:23 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-05 14:57 . 2008-01-21 07:23 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-05 13:51 . 2009-09-01 21:48 -------- d-----w- c:\users\tatan\AppData\Roaming\vlc
2010-05-05 11:28 . 2010-02-22 23:48 -------- d-sh--w- c:\users\tatan\AppData\Roaming\lowsec
2010-05-02 17:17 . 2009-09-04 22:20 -------- d-----w- c:\users\tatan\AppData\Roaming\dvdcss
2010-04-21 15:30 . 2009-12-03 17:48 -------- d-----w- c:\programdata\McAfee Security Scan
2010-04-15 01:21 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-04-15 01:05 . 2008-07-16 03:40 -------- d-----w- c:\programdata\Microsoft Help
2010-03-09 16:25 . 2010-03-30 21:07 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 15:42 . 2010-03-30 21:07 834048 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 08:16 . 2009-10-02 22:33 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-24 07:46 . 2009-08-27 20:42 72944 ----a-w- c:\users\tatan\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-12 10:32 . 2010-02-25 07:22 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-02-10 09:00 . 2010-02-20 01:28 84912 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100219.002\NAVENG.SYS
2010-02-10 09:00 . 2010-02-20 01:28 1324720 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100219.002\NAVEX15.SYS
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-27 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-06 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-06 154392]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-06 138008]
"RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-07-26 192512]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-17 102400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"FSCRecovery"="c:\program files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe" [2008-05-08 268096]
"Norman ZANDA"="c:\program files\Norman\Npm\bin\ZLH.EXE" [2008-06-02 277616]
"Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-05-28 20480]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-01 524632]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-11 149280]
"Skytel"="Skytel.exe" [2007-06-15 1826816]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
"fsc-reg"="c:\programdata\fsc-reg\fscreg.exe" [2007-11-08 533264]
c:\users\tatan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0aswBoot.exe /M:353215bcebb
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):2c,60,f5,1b,4f,82,ca,01
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-08-31 64160]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-03-01 1029456]
S2 NVOY;Norman's Very Own supplY of resources;c:\program files\Norman\npm\bin\nvoy.exe [2008-02-07 121912]
S3 NVCScheduler;Norman Virus Control Scheduler;c:\program files\Norman\Npm\bin\NVCSCHED.EXE [2007-09-18 154680]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
2010-05-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 19:41]
2010-05-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 19:18]
2010-05-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 19:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-06 10:15
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
[0] 0x647A1B00
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\users\tatan\AppData\Local\Temp\catchme.dll 53248 bytes executable
Scan terminé avec succès
Fichiers cachés: 1
**************************************************************************
.
Heure de fin: 2010-05-06 10:18:21
ComboFix-quarantined-files.txt 2010-05-06 08:18
Avant-CF: 20 278 046 720 octets libres
Après-CF: 20 246 274 048 octets libres
- - End Of File - - 09E05CD7518A5805A67FD73D747356F7
ComboFix 10-05-05.06 - tatan 06/05/2010 10:10:07.2.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Basique 6.0.6002.2.1252.33.1036.18.2038.1163 [GMT 2:00]
Lancé depuis: c:\users\tatan\Documents\ComboFix.exe
Commutateurs utilisés :: c:\users\tatan\Documents\CFScript.txt
AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated) {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}
SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
FILE ::
"c:\users\tatan\AppData\Roaming\wklnhst.dat"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\users\tatan\AppData\Roaming\wklnhst.dat
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-06 au 2010-05-06 ))))))))))))))))))))))))))))))))))))
.
2010-05-06 08:14 . 2010-05-06 08:15 -------- d-----w- c:\users\tatan\AppData\Local\temp
2010-05-06 08:14 . 2010-05-06 08:14 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-05-06 08:14 . 2010-05-06 08:14 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-05-05 12:25 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-05 12:25 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-05 11:40 . 2010-05-05 11:40 -------- d-----w- c:\users\tatan\AppData\Roaming\Malwarebytes
2010-05-05 11:40 . 2010-05-05 12:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-05 11:40 . 2010-05-05 11:40 -------- d-----w- c:\programdata\Malwarebytes
2010-05-05 11:33 . 2010-05-05 11:33 -------- d-----w- c:\users\tatan\AppData\Roaming\Yahoo!
2010-05-05 11:33 . 2010-05-05 14:51 -------- d-----w- c:\program files\Yahoo!
2010-05-05 11:33 . 2010-05-05 11:33 -------- d-----w- c:\program files\CCleaner
2010-05-05 11:17 . 2010-05-05 14:01 -------- d-----w- c:\program files\ZHPDiag
2010-04-19 13:01 . 2010-04-19 18:13 -------- d-----w- c:\program files\Pogo FR
2010-04-18 19:54 . 2010-04-19 07:11 -------- d-sh--w- c:\programdata\SysWoW32
2010-04-18 19:54 . 2010-04-19 07:11 -------- d-----w- c:\programdata\3729096
2010-04-15 01:48 . 2010-04-20 16:20 1356 ----a-w- c:\users\tatan\AppData\Local\d3d9caps.dat
2010-04-14 07:11 . 2010-02-18 14:07 904576 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-04-14 07:11 . 2010-02-18 11:28 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
2010-04-14 07:11 . 2010-02-18 13:30 200704 ----a-w- c:\windows\system32\iphlpsvc.dll
2010-04-14 06:44 . 2010-02-23 11:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-04-14 06:44 . 2010-02-23 11:10 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-04-14 06:44 . 2010-02-23 11:10 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-14 06:44 . 2010-02-18 14:07 3600776 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-04-14 06:44 . 2010-02-18 14:07 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-04-14 06:43 . 2010-03-04 17:33 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-04-14 06:16 . 2009-12-23 11:33 172032 ----a-w- c:\windows\system32\wintrust.dll
2010-04-14 06:16 . 2010-01-13 17:34 98304 ----a-w- c:\windows\system32\cabview.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-06 07:29 . 2009-12-11 22:25 -------- d-----w- c:\users\tatan\AppData\Roaming\LimeWire
2010-05-06 06:54 . 2009-08-27 19:10 -------- d-----w- c:\program files\Norman
2010-05-05 14:57 . 2008-01-21 07:23 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-05 14:57 . 2008-01-21 07:23 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-05 13:51 . 2009-09-01 21:48 -------- d-----w- c:\users\tatan\AppData\Roaming\vlc
2010-05-05 11:28 . 2010-02-22 23:48 -------- d-sh--w- c:\users\tatan\AppData\Roaming\lowsec
2010-05-02 17:17 . 2009-09-04 22:20 -------- d-----w- c:\users\tatan\AppData\Roaming\dvdcss
2010-04-21 15:30 . 2009-12-03 17:48 -------- d-----w- c:\programdata\McAfee Security Scan
2010-04-15 01:21 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-04-15 01:05 . 2008-07-16 03:40 -------- d-----w- c:\programdata\Microsoft Help
2010-03-09 16:25 . 2010-03-30 21:07 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 15:42 . 2010-03-30 21:07 834048 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 08:16 . 2009-10-02 22:33 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-24 07:46 . 2009-08-27 20:42 72944 ----a-w- c:\users\tatan\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-12 10:32 . 2010-02-25 07:22 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-02-10 09:00 . 2010-02-20 01:28 84912 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100219.002\NAVENG.SYS
2010-02-10 09:00 . 2010-02-20 01:28 1324720 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100219.002\NAVEX15.SYS
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-27 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-06 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-06 154392]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-06 138008]
"RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-07-26 192512]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-17 102400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"FSCRecovery"="c:\program files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe" [2008-05-08 268096]
"Norman ZANDA"="c:\program files\Norman\Npm\bin\ZLH.EXE" [2008-06-02 277616]
"Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-05-28 20480]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-01 524632]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-11 149280]
"Skytel"="Skytel.exe" [2007-06-15 1826816]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
"fsc-reg"="c:\programdata\fsc-reg\fscreg.exe" [2007-11-08 533264]
c:\users\tatan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0aswBoot.exe /M:353215bcebb
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):2c,60,f5,1b,4f,82,ca,01
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-08-31 64160]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-03-01 1029456]
S2 NVOY;Norman's Very Own supplY of resources;c:\program files\Norman\npm\bin\nvoy.exe [2008-02-07 121912]
S3 NVCScheduler;Norman Virus Control Scheduler;c:\program files\Norman\Npm\bin\NVCSCHED.EXE [2007-09-18 154680]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
2010-05-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 19:41]
2010-05-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 19:18]
2010-05-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 19:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-06 10:15
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
[0] 0x647A1B00
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\users\tatan\AppData\Local\Temp\catchme.dll 53248 bytes executable
Scan terminé avec succès
Fichiers cachés: 1
**************************************************************************
.
Heure de fin: 2010-05-06 10:18:21
ComboFix-quarantined-files.txt 2010-05-06 08:18
Avant-CF: 20 278 046 720 octets libres
Après-CF: 20 246 274 048 octets libres
- - End Of File - - 09E05CD7518A5805A67FD73D747356F7
Ok, fichier supprimé.
Fais le scan virus total https://forums.commentcamarche.net/forum/affich-17625250-de-l-aide-svp-je-suis-infectee#17
Et dit moi si tu as encore des soucis
Fais le scan virus total https://forums.commentcamarche.net/forum/affich-17625250-de-l-aide-svp-je-suis-infectee#17
Et dit moi si tu as encore des soucis
