Csrrs.exe = Imitation & virus
Résolu/Fermé
_Joyau_'
-
8 mai 2010 à 21:44
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 14 mai 2010 à 12:40
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 14 mai 2010 à 12:40
A voir également:
- Csrrs.exe = Imitation & virus
- Svchost.exe virus - Guide
- Imitation iphone - Guide
- Operagxsetup virus ✓ - Forum Virus
- Faux message virus iphone - Forum iPhone
- Youtu.be virus - Guide
21 réponses
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
8 mai 2010 à 21:49
8 mai 2010 à 21:49
Salut _Joyau_'
On va leur réglé leur cas :-)
Télécharge combofix.exe (de sUBs) sur le bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==
Double clique sur combofix.exe, clique sur OUI et valide par Entrée
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure
@++ :)
On va leur réglé leur cas :-)
Télécharge combofix.exe (de sUBs) sur le bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==
Double clique sur combofix.exe, clique sur OUI et valide par Entrée
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure
@++ :)
Re :)
Un peu long, voilà le rapport :
ComboFix 10-05-07.07 - Maman 08/05/2010 22:04:34.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.595 [GMT 2:00]
Lancé depuis: c:\documents and settings\Maman\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100508-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: McAfee VirusScan *On-access scanning enabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\Maman\LOCALS~1\Temp\sessmgr.exe
c:\documents and settings\Maman\Application Data\cisvc.exe
c:\documents and settings\Maman\Application Data\inst.exe
c:\documents and settings\Maman\Application Data\Microsoft\clipsrv.exe
c:\documents and settings\Maman\Local Settings\Application Data\cmstp.exe
c:\windows\dll.exe
c:\windows\dllhst3g.exe
c:\windows\esentutl.exe
c:\windows\system32\drivers\cmstp.exe
c:\windows\system32\drivers\mstsc.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-08 au 2010-05-08 ))))))))))))))))))))))))))))))))))))
.
2010-04-30 10:05 . 2010-04-30 10:55 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2010-04-29 10:43 . 2010-04-29 10:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Ultimate
2010-04-29 10:36 . 2010-04-29 10:36 -------- d-----w- c:\program files\Fichiers communs\Yahoo!
2010-04-29 10:36 . 2010-04-29 10:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Studio 12
2010-04-29 10:36 . 2010-04-29 10:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Plus
2010-04-29 06:46 . 2010-04-29 06:46 -------- d-----w- c:\documents and settings\Maman\Application Data\proDAD
2010-04-28 15:58 . 2010-04-29 07:01 -------- d-----w- c:\program files\a-squared Free
2010-04-27 20:42 . 2010-04-29 08:31 -------- d-----w- c:\program files\SimpleOCR
2010-04-24 16:37 . 2010-04-24 16:37 49744 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-04-24 16:00 . 2010-04-24 16:00 -------- d-----w- c:\documents and settings\Maman\Local Settings\Application Data\MicroVision Applications
2010-04-24 16:00 . 2010-04-24 16:00 -------- d-----w- c:\program files\Fichiers communs\SureThing Shared
2010-04-24 16:00 . 2010-04-29 10:31 -------- d-----w- c:\program files\SureThing Express Labeler
2010-04-24 15:58 . 2010-04-29 08:27 -------- d-----w- c:\program files\LooksBuilderSE
2010-04-24 15:56 . 2010-04-24 15:56 -------- d-----w- c:\program files\Fichiers communs\Pinnacle
2010-04-24 15:55 . 2010-04-29 10:43 -------- d-----w- c:\documents and settings\Maman\Local Settings\Application Data\Downloaded Installations
2010-04-24 15:55 . 2010-04-24 16:06 -------- d-----w- c:\documents and settings\Maman\Local Settings\Application Data\Pinnacle
2010-04-24 15:54 . 2010-04-24 15:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Ultimate Collection
2010-04-24 15:14 . 1999-09-10 11:06 5600 ----a-w- c:\windows\system\winaspi.dll
2010-04-24 15:14 . 1999-09-10 11:06 4672 ----a-w- c:\windows\system\wowpost.exe
2010-04-24 15:14 . 1999-09-10 11:06 45056 ------w- c:\windows\system32\wnaspi32.dll
2010-04-24 15:14 . 1999-09-10 11:06 25244 ------w- c:\windows\system32\drivers\aspi32.sys
2010-04-24 15:13 . 2010-04-24 15:13 -------- d-----w- C:\adaptec
2010-04-24 14:49 . 2010-04-24 14:49 -------- d-----w- c:\documents and settings\Maman\Application Data\Canneverbe Limited
2010-04-24 14:49 . 2010-04-24 14:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
2010-04-24 14:15 . 2010-04-24 14:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Astroburn Pro
2010-04-24 14:15 . 2010-04-24 14:15 -------- d-----w- c:\documents and settings\Maman\Application Data\Astroburn Pro
2010-04-24 13:56 . 2010-04-24 14:18 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-04-24 13:56 . 2010-04-24 13:56 691696 ------w- c:\windows\system32\drivers\sptd.sys
2010-04-24 13:55 . 2010-04-24 14:05 -------- d-----w- c:\documents and settings\Maman\Application Data\DAEMON Tools Lite
2010-04-24 13:55 . 2010-04-24 13:55 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-04-24 10:34 . 2010-04-24 10:34 -------- d-----w- c:\program files\CCleaner
2010-04-18 16:30 . 2010-04-18 16:30 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2010-04-18 16:30 . 2010-04-18 16:30 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Adobe
2010-04-18 15:30 . 2010-04-18 15:30 -------- d-----w- c:\documents and settings\LocalService\Bureau
2010-04-18 15:11 . 2010-04-18 15:11 -------- d-----w- c:\program files\Trend Micro
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-08 20:16 . 2004-08-19 12:03 93890 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-08 20:16 . 2004-08-19 12:03 532460 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-08 16:12 . 2009-04-11 18:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2010-04-30 10:49 . 2009-10-18 16:42 -------- d-----w- c:\program files\DebugMode
2010-04-30 10:06 . 2010-04-30 10:05 1924976 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe
2010-04-30 07:56 . 2009-06-18 13:45 -------- d-----w- c:\program files\DivX
2010-04-29 10:44 . 2010-04-29 10:44 29926 ----a-r- c:\documents and settings\Maman\Application Data\Microsoft\Installer\{5EB90C06-964F-4195-B83E-BD7E55C88415}\ARPPRODUCTICON.exe
2010-04-29 10:36 . 2009-06-13 08:34 -------- d-----w- c:\program files\Pinnacle
2010-04-29 10:32 . 2009-06-13 08:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle
2010-04-29 08:33 . 2008-12-26 07:56 -------- d-----w- c:\program files\ArcSoft
2010-04-29 08:33 . 2006-07-11 18:52 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-29 08:32 . 2006-07-11 18:53 -------- d-----w- c:\program files\Fichiers communs\Sonic Shared
2010-04-29 08:32 . 2006-07-11 18:57 -------- d-----w- c:\program files\Roxio
2010-04-29 08:30 . 2009-01-01 21:00 -------- d-----w- c:\program files\Windows Live
2010-04-29 08:30 . 2009-06-18 16:01 -------- d-----w- c:\program files\VSO
2010-04-29 08:30 . 2009-06-18 16:01 47360 ----a-w- c:\documents and settings\Maman\Application Data\pcouffin.sys
2010-04-29 08:30 . 2009-06-18 16:01 47360 ----a-w- c:\documents and settings\Maman\Application Data\pcouffin.sys
2010-04-29 08:30 . 2009-06-18 16:01 -------- d-----w- c:\documents and settings\Maman\Application Data\Vso
2010-04-29 08:29 . 2009-06-18 13:41 -------- d-----w- c:\program files\VirtualDubMOD
2010-04-27 17:25 . 2009-06-16 13:30 -------- d-----w- c:\program files\Messenger Plus! Live
2010-04-25 08:35 . 2008-10-09 13:34 79480 -c--a-w- c:\documents and settings\Maman\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-24 14:48 . 2010-03-26 11:46 -------- d-----w- c:\program files\burnatonce
2010-04-24 10:16 . 2009-04-12 15:01 -------- d-----w- c:\program files\AskTBar
2010-04-23 19:50 . 2008-09-16 14:35 -------- d-----w- c:\program files\Google
2010-04-17 16:04 . 2009-04-14 11:27 -------- d-----w- c:\documents and settings\Maman\Application Data\ArcSoft
2010-03-30 20:15 . 2008-09-22 17:29 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-03-26 19:20 . 2009-02-04 14:29 -------- d-----w- c:\documents and settings\Maman\Application Data\U3
2010-03-26 16:29 . 2010-03-26 16:29 -------- d-----w- c:\program files\Intelore
2010-03-26 15:57 . 2009-12-25 11:06 -------- d-----w- c:\program files\TubeMaster++
2010-03-26 15:30 . 2009-06-18 16:01 47360 ------w- c:\windows\system32\drivers\pcouffin.sys
2010-03-17 17:14 . 2009-12-25 11:44 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-03-15 15:02 . 2010-03-14 10:16 -------- d-----w- c:\program files\TeamViewer
2010-03-14 10:18 . 2010-03-14 10:18 -------- d-----w- c:\documents and settings\Maman\Application Data\TeamViewer
2010-03-10 17:28 . 2010-03-09 07:24 -------- d-----w- c:\program files\Zuma's Revenge!
2010-03-10 17:25 . 2010-03-10 17:24 -------- d-----w- c:\program files\PopCap Games
2010-03-10 17:04 . 2009-04-11 07:13 37 -c--a-w- c:\windows\popcinfo.dat
2010-03-10 16:27 . 2010-03-10 16:27 -------- d-----w- c:\documents and settings\Maman\Application Data\ACAMPREF
2010-03-10 16:27 . 2010-03-10 16:27 1409 ----a-w- c:\windows\Fonts\SToccata.fot
2010-03-10 16:16 . 2010-03-10 16:16 -------- d-----w- c:\documents and settings\Maman\Application Data\MusE
2010-03-10 16:11 . 2010-03-10 16:09 -------- d-----w- c:\program files\MuseScore 0.9
2010-03-10 06:16 . 2004-08-19 12:03 420352 ------w- c:\windows\system32\vbscript.dll
2010-03-04 14:06 . 2010-03-04 14:06 152576 ----a-w- c:\documents and settings\Maman\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-03-04 14:06 . 2010-03-04 14:06 79488 ----a-w- c:\documents and settings\Maman\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-04 14:05 . 2009-12-25 11:26 411368 ------w- c:\windows\system32\deploytk.dll
2010-02-25 06:17 . 2004-08-19 12:03 916480 ------w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-19 12:03 455680 ------w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2004-08-19 12:03 2148352 ------w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2004-08-03 23:48 2026496 ------w- c:\windows\system32\ntkrnlpa.exe
2010-02-16 13:54 . 2008-07-18 08:13 1920 ----a-w- c:\windows\xlkfs.dat
2010-02-12 10:03 . 2010-03-03 09:08 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2004-08-19 12:03 100864 ------w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-19 12:03 226880 ------w- c:\windows\system32\drivers\tcpip6.sys
2010-01-29 19:42 . 2010-01-29 19:42 1553572 ----a-w- c:\program files\iCF.exe
2009-12-28 14:23 . 2009-12-24 17:50 2396672 ----a-w- c:\program files\lcp504en.exe
2009-12-28 10:14 . 2009-12-25 11:43 16721957 ----a-w- c:\program files\lc6setup_v6.0.7.exe
2009-12-28 10:12 . 2009-12-28 10:12 2981608 ----a-w- c:\program files\UsenetNLSetup_415934f.exe
2009-12-25 11:05 . 2009-12-25 11:05 7040498 ----a-w- c:\program files\tubemaster_tubemaster_1.5_francais_38784.exe
2009-12-25 11:01 . 2009-12-25 11:01 4455121 ----a-w- c:\program files\ophcrack-win32-installer-3.0.exe
2009-12-25 10:31 . 2009-12-25 10:31 7573628 ----a-w- c:\program files\ca_setup.exe
2009-12-24 17:58 . 2009-12-24 17:58 1945512 ----a-w- c:\program files\lcp504en.zip
2009-11-09 19:40 . 2009-11-09 19:40 2011060 ----a-w- c:\program files\MyDefrag-v4.2.5.exe
2009-08-23 10:13 . 2009-08-23 10:13 594984 ----a-w- c:\program files\cameramanvire.mp3
2009-08-22 19:37 . 2009-08-22 19:37 139211 ----a-w- c:\program files\Pcwarrior.zip
2009-08-22 19:37 . 2009-07-31 15:33 28263 ----a-w- c:\program files\qbslasky.zip
2009-08-22 19:24 . 2009-08-22 19:24 3347 ----a-w- c:\program files\opt.zip
2009-07-31 15:50 . 2009-07-31 15:50 3219948 ----a-w- c:\program files\cdbxp_setup_4.2.4.1430.exe
2009-07-31 15:36 . 2009-07-31 15:36 192612 ----a-w- c:\program files\qbasic.zip
2009-07-31 15:33 . 2009-07-31 15:32 1044693 ----a-w- c:\program files\qb45fr.zip
2009-06-16 13:29 . 2009-06-16 13:29 5167952 ----a-w- c:\program files\MsgPlusLive-481.exe
2009-06-16 13:19 . 2009-06-16 13:19 1144168 ----a-w- c:\program files\wlsetup-custom(2).exe
2009-06-16 13:18 . 2009-06-16 13:18 1144168 ----a-w- c:\program files\wlsetup-custom.exe
2009-06-16 13:18 . 2009-06-16 13:18 2054131 ----a-w- c:\program files\install-messenger9.exe
2009-06-15 14:51 . 2009-06-15 14:50 15124508 ----a-w- c:\program files\video-converter-studio.exe
2009-06-15 14:51 . 2009-06-15 14:51 1316970 ----a-w- c:\program files\RADTools.exe
2009-06-15 14:28 . 2009-06-15 14:28 71173 ----a-w- c:\program files\freezer v1.4 fr.zip
2009-06-13 07:33 . 2009-06-13 07:17 361488 ----a-w- c:\program files\Download StudioPlusTE10.6.0.3835 now.exe
2008-06-02 07:07 . 2010-02-16 13:16 7412 ----a-w- c:\program files\readme.txt
2008-06-02 07:07 . 2010-02-16 13:16 14038 ----a-w- c:\program files\astlog.chm
2001-01-15 18:01 . 2009-10-14 13:42 146577 -c--a-w- c:\program files\QBasic.chm
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-31 7561216]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Auto EPSON Stylus D88 Series sur TAKUMI"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide de HP Photosmart Premier.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide de HP Photosmart Premier.lnk
backup=c:\windows\pss\Démarrage rapide de HP Photosmart Premier.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancer l'utilitaire d'enregistrement.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancer l'utilitaire d'enregistrement.lnk
backup=c:\windows\pss\Lancer l'utilitaire d'enregistrement.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk
backup=c:\windows\pss\NkvMon.exe.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PHOTOfunSTUDIO.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\PHOTOfunSTUDIO.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zzzHPSETUP]
d:\setup.exe \RESET [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-03-24 18:17 952768 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-04 05:42 36272 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2007-10-11 06:45 31232 ----a-w- c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BuildBU]
2004-02-19 04:23 61440 -c--a-w- c:\dell\bldbubg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus D88 Series]
2005-01-27 04:00 98304 ------w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIABE.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2006-02-19 00:41 49152 -c--a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2005-06-17 06:56 139264 -c--a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2005-06-10 09:44 249856 -c--a-w- c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2005-06-10 09:44 81920 -c--a-w- c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKDetectorExe]
2005-07-12 18:05 1117184 -c--a-w- c:\program files\McAfee\SpamKiller\MSKDetct.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2003-10-31 18:42 32768 ----a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]
2005-03-22 15:20 339968 -c--a-w- c:\windows\stsystra.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2008-10-21 13:58 68856 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\freezer v1.4 fr\\freezer v1.4 fr\\freezer.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Logitech Touch Mouse Server\\iTouch-Server-Win.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\WiFiConnector\\NintendoWFCReg.exe"=
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24/04/2010 15:56 691696]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [30/09/2008 17:21 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [30/09/2008 17:21 20560]
S2 gupdate1c9bad189eab984;Service Google Update (gupdate1c9bad189eab984);c:\program files\Google\Update\GoogleUpdate.exe [11/04/2009 20:15 133104]
S3 LcAgent;LC Remote Agent;c:\windows\Temp\lcagent.exe --> c:\windows\Temp\lcagent.exe [?]
S3 PPJoyBus;Parallel Port Joystick Bus device driver;c:\windows\system32\drivers\PPJoyBus.sys [23/01/2004 17:33 13952]
S3 PPortJoystick;Parallel Port Joystick device driver;c:\windows\system32\drivers\PPortJoy.sys [23/01/2004 17:32 28800]
.
Contenu du dossier 'Tâches planifiées'
2010-05-08 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-09-16 18:13]
2010-05-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-11 18:15]
2010-05-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-11 18:15]
2008-09-17 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-19 02:34]
2010-05-08 c:\windows\Tasks\User_Feed_Synchronization-{A07544BB-C2A4-413A-99C7-954F268F0258}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.emule-france.com
uInternet Connection Wizard,ShellNext = hxxp://www.dell.fr/myway
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Maman\Application Data\Mozilla\Firefox\Profiles\ly2t5qs0.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Explorer_Run-Mstsc - c:\windows\System32\drivers\mstsc.exe
HKLM-Explorer_Run-Esent Utl - c:\windows\esentutl.exe
HKLM-Explorer_Run-ClipSrv - c:\docume~1\Maman\APPLIC~1\MICROS~1\clipsrv.exe
HKLM-Explorer_Run-CmSTP - c:\docume~1\Maman\LOCALS~1\APPLIC~1\cmstp.exe
HKLM-Explorer_Run-Cisvc - c:\docume~1\Maman\APPLIC~1\cisvc.exe
HKU-Default-Explorer_Run-DllHst - c:\windows\dllhst3g.exe
MSConfigStartUp-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
MSConfigStartUp-IMBooster - c:\program files\Iminent\IMBooster\IMBooster.exe
MSConfigStartUp-McafWelcome - c:\progra~1\mcafee.com\agent\mcwelcom.exe
MSConfigStartUp-MCAgentExe - c:\progra~1\mcafee.com\agent\mcagent.exe
MSConfigStartUp-MCUpdateExe - c:\progra~1\mcafee.com\agent\mcupdate.exe
MSConfigStartUp-MPFExe - c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe
MSConfigStartUp-MSKAGENTEXE - c:\progra~1\McAfee\SPAMKI~1\MskAgent.exe
MSConfigStartUp-NMB - c:\windows\MxMySound.exe
MSConfigStartUp-OASClnt - c:\program files\McAfee.com\VSO\oasclnt.exe
MSConfigStartUp-RealTray - c:\program files\Real\RealPlayer\RealPlay.exe
MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe
MSConfigStartUp-VirusScan Online - c:\progra~1\mcafee.com\vso\mcvsshld.exe
MSConfigStartUp-VSOCheckTask - c:\progra~1\McAfee.com\VSO\mcmnhdlr.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-08 22:12
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iastor.sys spsp.sys hal.dll >>UNKNOWN [0x86786938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7656f28
\Driver\ACPI -> ACPI.sys @ 0xf73ddcb8
\Driver\atapi -> atapi.sys @ 0xf7372b40
\Driver\iaStor -> iastor.sys @ 0xf72d5020
IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Intel(R) PRO/1000 PL Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7193bb0
PacketIndicateHandler -> NDIS.sys @ 0xf71a0a21
SendHandler -> NDIS.sys @ 0xf717e87b
user & kernel MBR OK
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
"C040210900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3556)
c:\windows\system32\msi.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Intel Matrix Storage Manager\iaantmon.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-05-08 22:17:41 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-08 20:17
Avant-CF: 213 521 608 704 octets libres
Après-CF: 213 537 804 288 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 90F8E5721C5BF56B5EABE8E3E91A3478
Un peu long, voilà le rapport :
ComboFix 10-05-07.07 - Maman 08/05/2010 22:04:34.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.595 [GMT 2:00]
Lancé depuis: c:\documents and settings\Maman\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100508-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: McAfee VirusScan *On-access scanning enabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\Maman\LOCALS~1\Temp\sessmgr.exe
c:\documents and settings\Maman\Application Data\cisvc.exe
c:\documents and settings\Maman\Application Data\inst.exe
c:\documents and settings\Maman\Application Data\Microsoft\clipsrv.exe
c:\documents and settings\Maman\Local Settings\Application Data\cmstp.exe
c:\windows\dll.exe
c:\windows\dllhst3g.exe
c:\windows\esentutl.exe
c:\windows\system32\drivers\cmstp.exe
c:\windows\system32\drivers\mstsc.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-08 au 2010-05-08 ))))))))))))))))))))))))))))))))))))
.
2010-04-30 10:05 . 2010-04-30 10:55 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2010-04-29 10:43 . 2010-04-29 10:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Ultimate
2010-04-29 10:36 . 2010-04-29 10:36 -------- d-----w- c:\program files\Fichiers communs\Yahoo!
2010-04-29 10:36 . 2010-04-29 10:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Studio 12
2010-04-29 10:36 . 2010-04-29 10:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Plus
2010-04-29 06:46 . 2010-04-29 06:46 -------- d-----w- c:\documents and settings\Maman\Application Data\proDAD
2010-04-28 15:58 . 2010-04-29 07:01 -------- d-----w- c:\program files\a-squared Free
2010-04-27 20:42 . 2010-04-29 08:31 -------- d-----w- c:\program files\SimpleOCR
2010-04-24 16:37 . 2010-04-24 16:37 49744 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-04-24 16:00 . 2010-04-24 16:00 -------- d-----w- c:\documents and settings\Maman\Local Settings\Application Data\MicroVision Applications
2010-04-24 16:00 . 2010-04-24 16:00 -------- d-----w- c:\program files\Fichiers communs\SureThing Shared
2010-04-24 16:00 . 2010-04-29 10:31 -------- d-----w- c:\program files\SureThing Express Labeler
2010-04-24 15:58 . 2010-04-29 08:27 -------- d-----w- c:\program files\LooksBuilderSE
2010-04-24 15:56 . 2010-04-24 15:56 -------- d-----w- c:\program files\Fichiers communs\Pinnacle
2010-04-24 15:55 . 2010-04-29 10:43 -------- d-----w- c:\documents and settings\Maman\Local Settings\Application Data\Downloaded Installations
2010-04-24 15:55 . 2010-04-24 16:06 -------- d-----w- c:\documents and settings\Maman\Local Settings\Application Data\Pinnacle
2010-04-24 15:54 . 2010-04-24 15:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Ultimate Collection
2010-04-24 15:14 . 1999-09-10 11:06 5600 ----a-w- c:\windows\system\winaspi.dll
2010-04-24 15:14 . 1999-09-10 11:06 4672 ----a-w- c:\windows\system\wowpost.exe
2010-04-24 15:14 . 1999-09-10 11:06 45056 ------w- c:\windows\system32\wnaspi32.dll
2010-04-24 15:14 . 1999-09-10 11:06 25244 ------w- c:\windows\system32\drivers\aspi32.sys
2010-04-24 15:13 . 2010-04-24 15:13 -------- d-----w- C:\adaptec
2010-04-24 14:49 . 2010-04-24 14:49 -------- d-----w- c:\documents and settings\Maman\Application Data\Canneverbe Limited
2010-04-24 14:49 . 2010-04-24 14:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
2010-04-24 14:15 . 2010-04-24 14:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Astroburn Pro
2010-04-24 14:15 . 2010-04-24 14:15 -------- d-----w- c:\documents and settings\Maman\Application Data\Astroburn Pro
2010-04-24 13:56 . 2010-04-24 14:18 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-04-24 13:56 . 2010-04-24 13:56 691696 ------w- c:\windows\system32\drivers\sptd.sys
2010-04-24 13:55 . 2010-04-24 14:05 -------- d-----w- c:\documents and settings\Maman\Application Data\DAEMON Tools Lite
2010-04-24 13:55 . 2010-04-24 13:55 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-04-24 10:34 . 2010-04-24 10:34 -------- d-----w- c:\program files\CCleaner
2010-04-18 16:30 . 2010-04-18 16:30 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2010-04-18 16:30 . 2010-04-18 16:30 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Adobe
2010-04-18 15:30 . 2010-04-18 15:30 -------- d-----w- c:\documents and settings\LocalService\Bureau
2010-04-18 15:11 . 2010-04-18 15:11 -------- d-----w- c:\program files\Trend Micro
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-08 20:16 . 2004-08-19 12:03 93890 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-08 20:16 . 2004-08-19 12:03 532460 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-08 16:12 . 2009-04-11 18:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2010-04-30 10:49 . 2009-10-18 16:42 -------- d-----w- c:\program files\DebugMode
2010-04-30 10:06 . 2010-04-30 10:05 1924976 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe
2010-04-30 07:56 . 2009-06-18 13:45 -------- d-----w- c:\program files\DivX
2010-04-29 10:44 . 2010-04-29 10:44 29926 ----a-r- c:\documents and settings\Maman\Application Data\Microsoft\Installer\{5EB90C06-964F-4195-B83E-BD7E55C88415}\ARPPRODUCTICON.exe
2010-04-29 10:36 . 2009-06-13 08:34 -------- d-----w- c:\program files\Pinnacle
2010-04-29 10:32 . 2009-06-13 08:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle
2010-04-29 08:33 . 2008-12-26 07:56 -------- d-----w- c:\program files\ArcSoft
2010-04-29 08:33 . 2006-07-11 18:52 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-29 08:32 . 2006-07-11 18:53 -------- d-----w- c:\program files\Fichiers communs\Sonic Shared
2010-04-29 08:32 . 2006-07-11 18:57 -------- d-----w- c:\program files\Roxio
2010-04-29 08:30 . 2009-01-01 21:00 -------- d-----w- c:\program files\Windows Live
2010-04-29 08:30 . 2009-06-18 16:01 -------- d-----w- c:\program files\VSO
2010-04-29 08:30 . 2009-06-18 16:01 47360 ----a-w- c:\documents and settings\Maman\Application Data\pcouffin.sys
2010-04-29 08:30 . 2009-06-18 16:01 47360 ----a-w- c:\documents and settings\Maman\Application Data\pcouffin.sys
2010-04-29 08:30 . 2009-06-18 16:01 -------- d-----w- c:\documents and settings\Maman\Application Data\Vso
2010-04-29 08:29 . 2009-06-18 13:41 -------- d-----w- c:\program files\VirtualDubMOD
2010-04-27 17:25 . 2009-06-16 13:30 -------- d-----w- c:\program files\Messenger Plus! Live
2010-04-25 08:35 . 2008-10-09 13:34 79480 -c--a-w- c:\documents and settings\Maman\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-24 14:48 . 2010-03-26 11:46 -------- d-----w- c:\program files\burnatonce
2010-04-24 10:16 . 2009-04-12 15:01 -------- d-----w- c:\program files\AskTBar
2010-04-23 19:50 . 2008-09-16 14:35 -------- d-----w- c:\program files\Google
2010-04-17 16:04 . 2009-04-14 11:27 -------- d-----w- c:\documents and settings\Maman\Application Data\ArcSoft
2010-03-30 20:15 . 2008-09-22 17:29 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-03-26 19:20 . 2009-02-04 14:29 -------- d-----w- c:\documents and settings\Maman\Application Data\U3
2010-03-26 16:29 . 2010-03-26 16:29 -------- d-----w- c:\program files\Intelore
2010-03-26 15:57 . 2009-12-25 11:06 -------- d-----w- c:\program files\TubeMaster++
2010-03-26 15:30 . 2009-06-18 16:01 47360 ------w- c:\windows\system32\drivers\pcouffin.sys
2010-03-17 17:14 . 2009-12-25 11:44 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-03-15 15:02 . 2010-03-14 10:16 -------- d-----w- c:\program files\TeamViewer
2010-03-14 10:18 . 2010-03-14 10:18 -------- d-----w- c:\documents and settings\Maman\Application Data\TeamViewer
2010-03-10 17:28 . 2010-03-09 07:24 -------- d-----w- c:\program files\Zuma's Revenge!
2010-03-10 17:25 . 2010-03-10 17:24 -------- d-----w- c:\program files\PopCap Games
2010-03-10 17:04 . 2009-04-11 07:13 37 -c--a-w- c:\windows\popcinfo.dat
2010-03-10 16:27 . 2010-03-10 16:27 -------- d-----w- c:\documents and settings\Maman\Application Data\ACAMPREF
2010-03-10 16:27 . 2010-03-10 16:27 1409 ----a-w- c:\windows\Fonts\SToccata.fot
2010-03-10 16:16 . 2010-03-10 16:16 -------- d-----w- c:\documents and settings\Maman\Application Data\MusE
2010-03-10 16:11 . 2010-03-10 16:09 -------- d-----w- c:\program files\MuseScore 0.9
2010-03-10 06:16 . 2004-08-19 12:03 420352 ------w- c:\windows\system32\vbscript.dll
2010-03-04 14:06 . 2010-03-04 14:06 152576 ----a-w- c:\documents and settings\Maman\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-03-04 14:06 . 2010-03-04 14:06 79488 ----a-w- c:\documents and settings\Maman\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-04 14:05 . 2009-12-25 11:26 411368 ------w- c:\windows\system32\deploytk.dll
2010-02-25 06:17 . 2004-08-19 12:03 916480 ------w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-19 12:03 455680 ------w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2004-08-19 12:03 2148352 ------w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2004-08-03 23:48 2026496 ------w- c:\windows\system32\ntkrnlpa.exe
2010-02-16 13:54 . 2008-07-18 08:13 1920 ----a-w- c:\windows\xlkfs.dat
2010-02-12 10:03 . 2010-03-03 09:08 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2004-08-19 12:03 100864 ------w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-19 12:03 226880 ------w- c:\windows\system32\drivers\tcpip6.sys
2010-01-29 19:42 . 2010-01-29 19:42 1553572 ----a-w- c:\program files\iCF.exe
2009-12-28 14:23 . 2009-12-24 17:50 2396672 ----a-w- c:\program files\lcp504en.exe
2009-12-28 10:14 . 2009-12-25 11:43 16721957 ----a-w- c:\program files\lc6setup_v6.0.7.exe
2009-12-28 10:12 . 2009-12-28 10:12 2981608 ----a-w- c:\program files\UsenetNLSetup_415934f.exe
2009-12-25 11:05 . 2009-12-25 11:05 7040498 ----a-w- c:\program files\tubemaster_tubemaster_1.5_francais_38784.exe
2009-12-25 11:01 . 2009-12-25 11:01 4455121 ----a-w- c:\program files\ophcrack-win32-installer-3.0.exe
2009-12-25 10:31 . 2009-12-25 10:31 7573628 ----a-w- c:\program files\ca_setup.exe
2009-12-24 17:58 . 2009-12-24 17:58 1945512 ----a-w- c:\program files\lcp504en.zip
2009-11-09 19:40 . 2009-11-09 19:40 2011060 ----a-w- c:\program files\MyDefrag-v4.2.5.exe
2009-08-23 10:13 . 2009-08-23 10:13 594984 ----a-w- c:\program files\cameramanvire.mp3
2009-08-22 19:37 . 2009-08-22 19:37 139211 ----a-w- c:\program files\Pcwarrior.zip
2009-08-22 19:37 . 2009-07-31 15:33 28263 ----a-w- c:\program files\qbslasky.zip
2009-08-22 19:24 . 2009-08-22 19:24 3347 ----a-w- c:\program files\opt.zip
2009-07-31 15:50 . 2009-07-31 15:50 3219948 ----a-w- c:\program files\cdbxp_setup_4.2.4.1430.exe
2009-07-31 15:36 . 2009-07-31 15:36 192612 ----a-w- c:\program files\qbasic.zip
2009-07-31 15:33 . 2009-07-31 15:32 1044693 ----a-w- c:\program files\qb45fr.zip
2009-06-16 13:29 . 2009-06-16 13:29 5167952 ----a-w- c:\program files\MsgPlusLive-481.exe
2009-06-16 13:19 . 2009-06-16 13:19 1144168 ----a-w- c:\program files\wlsetup-custom(2).exe
2009-06-16 13:18 . 2009-06-16 13:18 1144168 ----a-w- c:\program files\wlsetup-custom.exe
2009-06-16 13:18 . 2009-06-16 13:18 2054131 ----a-w- c:\program files\install-messenger9.exe
2009-06-15 14:51 . 2009-06-15 14:50 15124508 ----a-w- c:\program files\video-converter-studio.exe
2009-06-15 14:51 . 2009-06-15 14:51 1316970 ----a-w- c:\program files\RADTools.exe
2009-06-15 14:28 . 2009-06-15 14:28 71173 ----a-w- c:\program files\freezer v1.4 fr.zip
2009-06-13 07:33 . 2009-06-13 07:17 361488 ----a-w- c:\program files\Download StudioPlusTE10.6.0.3835 now.exe
2008-06-02 07:07 . 2010-02-16 13:16 7412 ----a-w- c:\program files\readme.txt
2008-06-02 07:07 . 2010-02-16 13:16 14038 ----a-w- c:\program files\astlog.chm
2001-01-15 18:01 . 2009-10-14 13:42 146577 -c--a-w- c:\program files\QBasic.chm
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-31 7561216]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Auto EPSON Stylus D88 Series sur TAKUMI"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide de HP Photosmart Premier.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide de HP Photosmart Premier.lnk
backup=c:\windows\pss\Démarrage rapide de HP Photosmart Premier.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancer l'utilitaire d'enregistrement.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancer l'utilitaire d'enregistrement.lnk
backup=c:\windows\pss\Lancer l'utilitaire d'enregistrement.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk
backup=c:\windows\pss\NkvMon.exe.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PHOTOfunSTUDIO.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\PHOTOfunSTUDIO.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zzzHPSETUP]
d:\setup.exe \RESET [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-03-24 18:17 952768 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-04 05:42 36272 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2007-10-11 06:45 31232 ----a-w- c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BuildBU]
2004-02-19 04:23 61440 -c--a-w- c:\dell\bldbubg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus D88 Series]
2005-01-27 04:00 98304 ------w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIABE.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2006-02-19 00:41 49152 -c--a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2005-06-17 06:56 139264 -c--a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2005-06-10 09:44 249856 -c--a-w- c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2005-06-10 09:44 81920 -c--a-w- c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKDetectorExe]
2005-07-12 18:05 1117184 -c--a-w- c:\program files\McAfee\SpamKiller\MSKDetct.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2003-10-31 18:42 32768 ----a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]
2005-03-22 15:20 339968 -c--a-w- c:\windows\stsystra.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2008-10-21 13:58 68856 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\freezer v1.4 fr\\freezer v1.4 fr\\freezer.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Logitech Touch Mouse Server\\iTouch-Server-Win.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\WiFiConnector\\NintendoWFCReg.exe"=
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24/04/2010 15:56 691696]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [30/09/2008 17:21 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [30/09/2008 17:21 20560]
S2 gupdate1c9bad189eab984;Service Google Update (gupdate1c9bad189eab984);c:\program files\Google\Update\GoogleUpdate.exe [11/04/2009 20:15 133104]
S3 LcAgent;LC Remote Agent;c:\windows\Temp\lcagent.exe --> c:\windows\Temp\lcagent.exe [?]
S3 PPJoyBus;Parallel Port Joystick Bus device driver;c:\windows\system32\drivers\PPJoyBus.sys [23/01/2004 17:33 13952]
S3 PPortJoystick;Parallel Port Joystick device driver;c:\windows\system32\drivers\PPortJoy.sys [23/01/2004 17:32 28800]
.
Contenu du dossier 'Tâches planifiées'
2010-05-08 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-09-16 18:13]
2010-05-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-11 18:15]
2010-05-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-11 18:15]
2008-09-17 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-19 02:34]
2010-05-08 c:\windows\Tasks\User_Feed_Synchronization-{A07544BB-C2A4-413A-99C7-954F268F0258}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.emule-france.com
uInternet Connection Wizard,ShellNext = hxxp://www.dell.fr/myway
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Maman\Application Data\Mozilla\Firefox\Profiles\ly2t5qs0.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Explorer_Run-Mstsc - c:\windows\System32\drivers\mstsc.exe
HKLM-Explorer_Run-Esent Utl - c:\windows\esentutl.exe
HKLM-Explorer_Run-ClipSrv - c:\docume~1\Maman\APPLIC~1\MICROS~1\clipsrv.exe
HKLM-Explorer_Run-CmSTP - c:\docume~1\Maman\LOCALS~1\APPLIC~1\cmstp.exe
HKLM-Explorer_Run-Cisvc - c:\docume~1\Maman\APPLIC~1\cisvc.exe
HKU-Default-Explorer_Run-DllHst - c:\windows\dllhst3g.exe
MSConfigStartUp-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
MSConfigStartUp-IMBooster - c:\program files\Iminent\IMBooster\IMBooster.exe
MSConfigStartUp-McafWelcome - c:\progra~1\mcafee.com\agent\mcwelcom.exe
MSConfigStartUp-MCAgentExe - c:\progra~1\mcafee.com\agent\mcagent.exe
MSConfigStartUp-MCUpdateExe - c:\progra~1\mcafee.com\agent\mcupdate.exe
MSConfigStartUp-MPFExe - c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe
MSConfigStartUp-MSKAGENTEXE - c:\progra~1\McAfee\SPAMKI~1\MskAgent.exe
MSConfigStartUp-NMB - c:\windows\MxMySound.exe
MSConfigStartUp-OASClnt - c:\program files\McAfee.com\VSO\oasclnt.exe
MSConfigStartUp-RealTray - c:\program files\Real\RealPlayer\RealPlay.exe
MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe
MSConfigStartUp-VirusScan Online - c:\progra~1\mcafee.com\vso\mcvsshld.exe
MSConfigStartUp-VSOCheckTask - c:\progra~1\McAfee.com\VSO\mcmnhdlr.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-08 22:12
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iastor.sys spsp.sys hal.dll >>UNKNOWN [0x86786938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7656f28
\Driver\ACPI -> ACPI.sys @ 0xf73ddcb8
\Driver\atapi -> atapi.sys @ 0xf7372b40
\Driver\iaStor -> iastor.sys @ 0xf72d5020
IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Intel(R) PRO/1000 PL Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7193bb0
PacketIndicateHandler -> NDIS.sys @ 0xf71a0a21
SendHandler -> NDIS.sys @ 0xf717e87b
user & kernel MBR OK
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
"C040210900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3556)
c:\windows\system32\msi.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Intel Matrix Storage Manager\iaantmon.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-05-08 22:17:41 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-08 20:17
Avant-CF: 213 521 608 704 octets libres
Après-CF: 213 537 804 288 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 90F8E5721C5BF56B5EABE8E3E91A3478
Desolé du double post mais j'ai oublié de dire que j'ai jamais eu Mc-Afee
Et il m'a dit que je l'avais --'
Et il m'a dit que je l'avais --'
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
9 mai 2010 à 00:22
9 mai 2010 à 00:22
Salut _Joyau_'
Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php
- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.
- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.
- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
@++ :)
Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php
- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.
- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.
- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
@++ :)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
_Joyau_
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010
9 mai 2010 à 09:32
9 mai 2010 à 09:32
Ok, je fais ça et je poste :)
_Joyau_
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010
9 mai 2010 à 10:36
9 mai 2010 à 10:36
Voila le rapport de Gmer :)
:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-09 10:33:31
Windows 5.1.2600 Service Pack 3
Running: 22w7szm2.exe; Driver: C:\DOCUME~1\Maman\LOCALS~1\Temp\axtdypoc.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xEBCD56B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xEBCD5574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xEBCD5A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xEBCD514C]
SSDT spyf.sys ZwEnumerateKey [0xF7437DA4]
SSDT spyf.sys ZwEnumerateValueKey [0xF7438132]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xEBCD564E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xEBCD508C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xEBCD50F0]
SSDT spyf.sys ZwQueryKey [0xF743820A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xEBCD576E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xEBCD572E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xEBCD58AE]
INT 0x62 ? 867D7BF8
INT 0x63 ? 86765BF8
INT 0x84 ? 85D07BF8
INT 0x94 ? 85D07BF8
INT 0xA4 ? 85D07BF8
INT 0xB4 ? 85D07BF8
---- Kernel code sections - GMER 1.0.15 ----
? spyf.sys Le fichier spécifié est introuvable. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF63EE380, 0x21F1AD, 0xE8000020]
.text USBPORT.SYS!DllUnload F63798AC 5 Bytes JMP 85D071D8
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7420042] spyf.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F742013E] spyf.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74200C0] spyf.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7420800] spyf.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74206D6] spyf.sys
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[880] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[880] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 867641F8
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\usbehci \Device\USBPDO-0 85C941F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 867661F8
Device \Driver\dmio \Device\DmControl\DmConfig 867661F8
Device \Driver\dmio \Device\DmControl\DmPnP 867661F8
Device \Driver\dmio \Device\DmControl\DmInfo 867661F8
Device \Driver\usbuhci \Device\USBPDO-1 85CC11F8
Device \Driver\usbuhci \Device\USBPDO-2 85CC11F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{1C719838-24A7-416F-8DD7-F0F7552D0BEA} 85517500
Device \Driver\usbuhci \Device\USBPDO-3 85CC11F8
Device \Driver\usbuhci \Device\USBPDO-4 85CC11F8
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\Ftdisk \Device\HarddiskVolume1 867D81F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 867D81F8
Device \Driver\Cdrom \Device\CdRom0 85C881F8
Device \Driver\iastor \Device\Ide\iaStor0 [F72D5020] iastor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F7372B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [F7372B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [F7372B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\iastor \Device\Ide\IAAStorageDevice-0 [F72D5020] iastor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\Cdrom \Device\CdRom1 85C881F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 867D81F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 85517500
Device \Driver\NetBT \Device\NetbiosSmb 85517500
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\usbuhci \Device\USBFDO-0 85CC11F8
Device \Driver\usbuhci \Device\USBFDO-1 85CC11F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 850541F8
Device \Driver\usbuhci \Device\USBFDO-2 85CC11F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 850541F8
Device \Driver\usbuhci \Device\USBFDO-3 85CC11F8
Device \Driver\usbehci \Device\USBFDO-4 85C941F8
Device \Driver\Ftdisk \Device\FtControl 867D81F8
Device \FileSystem\Fastfat \Fat 84F78500
Device \FileSystem\Fastfat \Fat B01D8297
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
Device \FileSystem\Cdfs \Cdfs 85AE92C8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x07 0xB6 0x9F 0x61 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x07 0xB6 0x9F 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x7A 0x45 0x05 0xFD ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x86 0x8C 0x21 0x01 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xE9 0x02 0x6C 0xFA ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x37 0xA4 0xAA 0xC3 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xF8 0x31 0x0F 0xA9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x6C 0x43 0x2D 0x1E ...
---- EOF - GMER 1.0.15 ----
:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-09 10:33:31
Windows 5.1.2600 Service Pack 3
Running: 22w7szm2.exe; Driver: C:\DOCUME~1\Maman\LOCALS~1\Temp\axtdypoc.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xEBCD56B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xEBCD5574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xEBCD5A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xEBCD514C]
SSDT spyf.sys ZwEnumerateKey [0xF7437DA4]
SSDT spyf.sys ZwEnumerateValueKey [0xF7438132]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xEBCD564E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xEBCD508C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xEBCD50F0]
SSDT spyf.sys ZwQueryKey [0xF743820A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xEBCD576E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xEBCD572E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xEBCD58AE]
INT 0x62 ? 867D7BF8
INT 0x63 ? 86765BF8
INT 0x84 ? 85D07BF8
INT 0x94 ? 85D07BF8
INT 0xA4 ? 85D07BF8
INT 0xB4 ? 85D07BF8
---- Kernel code sections - GMER 1.0.15 ----
? spyf.sys Le fichier spécifié est introuvable. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF63EE380, 0x21F1AD, 0xE8000020]
.text USBPORT.SYS!DllUnload F63798AC 5 Bytes JMP 85D071D8
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7420042] spyf.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F742013E] spyf.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74200C0] spyf.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7420800] spyf.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74206D6] spyf.sys
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[880] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[880] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 867641F8
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\usbehci \Device\USBPDO-0 85C941F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 867661F8
Device \Driver\dmio \Device\DmControl\DmConfig 867661F8
Device \Driver\dmio \Device\DmControl\DmPnP 867661F8
Device \Driver\dmio \Device\DmControl\DmInfo 867661F8
Device \Driver\usbuhci \Device\USBPDO-1 85CC11F8
Device \Driver\usbuhci \Device\USBPDO-2 85CC11F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{1C719838-24A7-416F-8DD7-F0F7552D0BEA} 85517500
Device \Driver\usbuhci \Device\USBPDO-3 85CC11F8
Device \Driver\usbuhci \Device\USBPDO-4 85CC11F8
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\Ftdisk \Device\HarddiskVolume1 867D81F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 867D81F8
Device \Driver\Cdrom \Device\CdRom0 85C881F8
Device \Driver\iastor \Device\Ide\iaStor0 [F72D5020] iastor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F7372B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [F7372B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [F7372B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\iastor \Device\Ide\IAAStorageDevice-0 [F72D5020] iastor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\Cdrom \Device\CdRom1 85C881F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 867D81F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 85517500
Device \Driver\NetBT \Device\NetbiosSmb 85517500
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\usbuhci \Device\USBFDO-0 85CC11F8
Device \Driver\usbuhci \Device\USBFDO-1 85CC11F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 850541F8
Device \Driver\usbuhci \Device\USBFDO-2 85CC11F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 850541F8
Device \Driver\usbuhci \Device\USBFDO-3 85CC11F8
Device \Driver\usbehci \Device\USBFDO-4 85C941F8
Device \Driver\Ftdisk \Device\FtControl 867D81F8
Device \FileSystem\Fastfat \Fat 84F78500
Device \FileSystem\Fastfat \Fat B01D8297
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
Device \FileSystem\Cdfs \Cdfs 85AE92C8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x07 0xB6 0x9F 0x61 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x07 0xB6 0x9F 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x7A 0x45 0x05 0xFD ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x86 0x8C 0x21 0x01 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xE9 0x02 0x6C 0xFA ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x37 0xA4 0xAA 0xC3 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xF8 0x31 0x0F 0xA9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x6C 0x43 0x2D 0x1E ...
---- EOF - GMER 1.0.15 ----
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
9 mai 2010 à 15:09
9 mai 2010 à 15:09
Salut _Joyau_'
Télécharge MBR par (GMER) sur ton Bureau :
http://www2.gmer.net/mbr/mbr.exe
- Désactive tous les programmes de protection (antivirus, antispyware etc.)
https://forum.pcastuces.com/default.asp
- Double-clique sur mbr.exe > une fenêtre noire va s'ouvrir et se refermer.
- Poste le rapport mbr.log qui apparaît.
@++ :)
Télécharge MBR par (GMER) sur ton Bureau :
http://www2.gmer.net/mbr/mbr.exe
- Désactive tous les programmes de protection (antivirus, antispyware etc.)
https://forum.pcastuces.com/default.asp
- Double-clique sur mbr.exe > une fenêtre noire va s'ouvrir et se refermer.
- Poste le rapport mbr.log qui apparaît.
@++ :)
_Joyau_
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010
9 mai 2010 à 17:04
9 mai 2010 à 17:04
Re ;o
Je voulais te dire que depuis le 1er ou le 2ème scan, plus rien
Yen a un des deux qui a supprimé des fichiers, et au démarrage plus rien ne vient, le dossier ~temp n'existe plus et avast ne me signale plus rien. Est-ce utile de continuer et de faire ce scan?
Merci :D
Je voulais te dire que depuis le 1er ou le 2ème scan, plus rien
Yen a un des deux qui a supprimé des fichiers, et au démarrage plus rien ne vient, le dossier ~temp n'existe plus et avast ne me signale plus rien. Est-ce utile de continuer et de faire ce scan?
Merci :D
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
9 mai 2010 à 17:39
9 mai 2010 à 17:39
Salut _Joyau_'
Je te ferais pas passé des scan pour rien, Combofix m'indique que la MBR a été modifié par le Rootkit, là on vérifie si Combofix a réussi a réparer.
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iastor.sys spsp.sys hal.dll >>UNKNOWN [0x86786938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7656f28
\Driver\ACPI -> ACPI.sys @ 0xf73ddcb8
\Driver\atapi -> atapi.sys @ 0xf7372b40
\Driver\iaStor -> iastor.sys @ 0xf72d5020
IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Intel(R) PRO/1000 PL Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7193bb0
PacketIndicateHandler -> NDIS.sys @ 0xf71a0a21
SendHandler -> NDIS.sys @ 0xf717e87b
user & kernel MBR OK
Donc j'attends ton rapport a moins que tu veux en resté là avec la possibilité que la MBR soit encore corrompu...
@++ :)
Je te ferais pas passé des scan pour rien, Combofix m'indique que la MBR a été modifié par le Rootkit, là on vérifie si Combofix a réussi a réparer.
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iastor.sys spsp.sys hal.dll >>UNKNOWN [0x86786938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7656f28
\Driver\ACPI -> ACPI.sys @ 0xf73ddcb8
\Driver\atapi -> atapi.sys @ 0xf7372b40
\Driver\iaStor -> iastor.sys @ 0xf72d5020
IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Intel(R) PRO/1000 PL Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7193bb0
PacketIndicateHandler -> NDIS.sys @ 0xf71a0a21
SendHandler -> NDIS.sys @ 0xf717e87b
user & kernel MBR OK
Donc j'attends ton rapport a moins que tu veux en resté là avec la possibilité que la MBR soit encore corrompu...
@++ :)
_Joyau_
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010
9 mai 2010 à 17:41
9 mai 2010 à 17:41
Aucun problème, je le fais te je poste :)
_Joyau_
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010
9 mai 2010 à 17:42
9 mai 2010 à 17:42
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Voilà ;o
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Voilà ;o
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
9 mai 2010 à 17:54
9 mai 2010 à 17:54
Salut _Joyau_'
Tiens voilà, pas trop long....
La MBR es OK, on va vérifier si rien de caché :
Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :
https://www.eset.com/int/home/online-scanner/
(coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer)
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt
@++ :)
Tiens voilà, pas trop long....
La MBR es OK, on va vérifier si rien de caché :
Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :
https://www.eset.com/int/home/online-scanner/
(coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer)
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt
@++ :)
_Joyau_
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010
9 mai 2010 à 19:30
9 mai 2010 à 19:30
Très long scan... 36%
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
9 mai 2010 à 19:33
9 mai 2010 à 19:33
Salut _Joyau_'
Effectivement un peu plus long que le scan pour la MBR :-))
@++ :)
P.S. - va promener le chien
Effectivement un peu plus long que le scan pour la MBR :-))
@++ :)
P.S. - va promener le chien
_Joyau_
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010
9 mai 2010 à 19:34
9 mai 2010 à 19:34
I love les chiens =)
Bref...
Bref...
_Joyau_
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010
11 mai 2010 à 07:49
11 mai 2010 à 07:49
Dsl du retard
Le rapport :)
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ec45bcaed15b224aaa94d83c49b41ec6
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-05-10 07:53:03
# local_time=2010-05-10 09:53:03 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=769 16775125 100 98 233 209796506 0 0
# compatibility_mode=8192 67108863 100 0 86353 86353 0 0
# scanned=88325
# found=2
# cleaned=2
# scan_time=13040
C:\Program Files\LCP\Data\pwdump3\pwservice.exe Win32/PSWTool.PWDump3 application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP304\A0103124.exe Win32/PSWTool.PWDump3 application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
A tte ;o
Le rapport :)
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ec45bcaed15b224aaa94d83c49b41ec6
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-05-10 07:53:03
# local_time=2010-05-10 09:53:03 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=769 16775125 100 98 233 209796506 0 0
# compatibility_mode=8192 67108863 100 0 86353 86353 0 0
# scanned=88325
# found=2
# cleaned=2
# scan_time=13040
C:\Program Files\LCP\Data\pwdump3\pwservice.exe Win32/PSWTool.PWDump3 application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP304\A0103124.exe Win32/PSWTool.PWDump3 application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
A tte ;o
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
11 mai 2010 à 23:43
11 mai 2010 à 23:43
Salut _Joyau_'
Tu supprimeras ce dossier en gras:
C:\Program Files\LCP
Pour des raisons de sécurité et surtout pour garder ton PC propre, on va désactiver la restauration système sur tous les lecteurs :
- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système
- Coche la case désactiver la restauration et applique
Redémarre l'ordinateur et réactive la restauration système.
Tutoriel XP : http://www.libellules.ch/desactiver_restauration.php
-----
On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :
http://pc-system.fr/
- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.
-----
Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx
Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
Faire un ménage des fichiers inutiles et de la base de registre :
https://www.malekal.com/tutoriel-ccleaner/
Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.
@++ :)
Tu supprimeras ce dossier en gras:
C:\Program Files\LCP
Pour des raisons de sécurité et surtout pour garder ton PC propre, on va désactiver la restauration système sur tous les lecteurs :
- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système
- Coche la case désactiver la restauration et applique
Redémarre l'ordinateur et réactive la restauration système.
Tutoriel XP : http://www.libellules.ch/desactiver_restauration.php
-----
On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :
http://pc-system.fr/
- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.
-----
Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx
Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
Faire un ménage des fichiers inutiles et de la base de registre :
https://www.malekal.com/tutoriel-ccleaner/
Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.
@++ :)
_Joyau_
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010
13 mai 2010 à 10:11
13 mai 2010 à 10:11
Re :)
Le rapport de ToolsCleaner :
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !
---------------------------------
--> Suppression:
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
Sinon, j'avais déjà CCleaner et je l'utilise, je trouve que c'est un très bon outil ;o
Le rapport de ToolsCleaner :
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !
---------------------------------
--> Suppression:
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
Sinon, j'avais déjà CCleaner et je l'utilise, je trouve que c'est un très bon outil ;o
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
14 mai 2010 à 00:09
14 mai 2010 à 00:09
Salut _Joyau_'
Je te donne quelques consignes de sécurité :
- Windows Update parfaitement à jour http://www.windowsupdate.com/windowsupdate/v6/default.aspx (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré, je te conseil ZoneAlarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- pas de téléchargement illégal, qui est le principal facteur d'infection (µTorrent, BitTorrent, eMule, Limewire, etc..) https://forum.malekal.com/viewtopic.php?t=893&start=
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware, je conseil MalwareByte's Anti-Malware :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour :
https://www.java.com/en/download/uninstalltool.jsp
- faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php
Si tu considères ton problème comme résolu, tu pourras mettre en résolu :
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/
Bonne journée/soirée et bon surf
@++ :)
Je te donne quelques consignes de sécurité :
- Windows Update parfaitement à jour http://www.windowsupdate.com/windowsupdate/v6/default.aspx (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré, je te conseil ZoneAlarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- pas de téléchargement illégal, qui est le principal facteur d'infection (µTorrent, BitTorrent, eMule, Limewire, etc..) https://forum.malekal.com/viewtopic.php?t=893&start=
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware, je conseil MalwareByte's Anti-Malware :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour :
https://www.java.com/en/download/uninstalltool.jsp
- faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php
Si tu considères ton problème comme résolu, tu pourras mettre en résolu :
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/
Bonne journée/soirée et bon surf
@++ :)
_Joyau_
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010
14 mai 2010 à 09:25
14 mai 2010 à 09:25
Bonjour,
Merci pour toutes tes réponses et pour le temps que tu as pris à me répondre, et pour tous ces conseils. =)
_Joyau_
Merci pour toutes tes réponses et pour le temps que tu as pris à me répondre, et pour tous ces conseils. =)
_Joyau_