demande de l'analyse Hijackthis (ordi lent) Fermé

Question

Bonjour, 
depuis quelques jours j'ai des problemes avec mon rodi, devenu bizzarement lent. Pas au demarrage, en tout cas pas de facon visible, mais par exemple, la je suis en train de taper sur une fenetre blanche, mes phrases apparaissant d'un coup apres quelques instants de freez. pareil pour faire derouler une fenetre du haut en bas, ca freeze un instant avant de poursuivre. C'est extremement rageant. Du coup je me demande si vous pourriez m'aider. J'ai installle hijackthis et j'ai fait une analyse, ca sera peutetre un debut de reponse?

Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\MGE\PersonalSolutionPac\mgenetsystray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\fsproflt.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\MGE\PersonalSolutionPac\RunSC.exe
C:\Program Files\MGE\PersonalSolutionPac\PCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\NVIDIA Corporation
Tune
TuneService.exe
C:\Program Files\MGE\PersonalSolutionPac\BIL.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MGE\PersonalSolutionPac\CILUSB.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Firefox3\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [pspNetSystray] C:\Program Files\MGE\PersonalSolutionPac\mgenetsystray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EasyModApache - Unknown owner - C:\Program Files\EasyBox\apache\apache.exe (file missing)
O23 - Service: FSPro Filter Service (fsproflt) - FSPro Labs - C:\WINDOWS\system32\fsproflt.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MGE Service module - Unknown owner - C:\Program Files\MGE\PersonalSolutionPac\RunSC.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation
Tune
TuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SolidWorks SolidNetWork License Manager - Unknown owner - D:\SolidWorks 2005 SP0 crack (Ita-Eng-Fra)\Crack\lmgrd.exe (file missing)
O23 - Service: Onduleur (UPS) - Unknown owner - C:\WINDOWS\System32\ups2.exe (file missing)

gen-hackman · Answer

&#9654 Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche    Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

&#9654 clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\Program Files\MGE\PersonalSolutionPac\RunSC.exe 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

melmire · Answer

L'analyse est toujours en attente depuis ce matin, et entre temps j"ai un message d'[ avira] concernant un heur.html.malware. Pourtant il me seble pas d'avoir installe quelque chose depuis ma derniere analyse complete avec [ antivirus], qui a pourtant rien trouve (ni avira, ni  malwarebyte]) J'ai aussi passe de cccleaner. Ca rame de plus en plus, desole pour les lettres en double et les fautes eventuelles, c'est super chiant a corriger, le cureeur se bloque tout les trois-quatre lettres.

bon, au fait viirustotal me dit qu'il a deja analyse se ficheir pour le passe, et il me demande si je veux le re'-analyser.
Du coupl'option "formate" n'apparait pas, je fais quoi, je re-analyse?

gen-hackman · Answer

sur quel fichier le signale-t-il ?

melmire · Answer

sur RUNSC.exe

File RunSC.exe received on 2010.06.15 11:55:35 (UTC)

Result: 0/41 (0%)

gen-hackman · Answer

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj2088605/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

melmire · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cij157kps3.txt

Voila :)

gen-hackman · Answer

&#9654 Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista )

&#9654 fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert "ZHPFix".

&#9654 ZHPFix se lancera, clique maintenant sur le "H" bleu ( coller les lignes helper )

&#9654 copie/colle ce qui se trouve en gras ci-dessous :


MBRFix


&#9654 Clique sur "Ok" , puis "Tous" et enfin "Nettoyer".

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message

melmire · Answer

Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spof.sys >>UNKNOWN [0x86D93938]<<
kernel: MBR read successfully
user & kernel MBR OK

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 9
Préférences navigateur : 0
Autre : 0

End of the scan

gen-hackman · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

&#9654 sur les lignes rouge:

&#9654 Services:cliques droit delete service
&#9654 Process:cliques droit kill process
&#9654 Adl ,file:cliques droit delete files

melmire · Answer

Ecoutes, le scan ne montre aucune ligne rouge et l'ordi s'est remis a fonctionner normalement, ca doit etre grace a ta solution de16h48. On considere le probleme comme resolu ou il y a encore quelque chose a verifier pour bien faire?

gen-hackman · Answer

poste le rapport de gMer stp

melmire · Answer

Sir yes sir!



GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-15 21:05:17
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Melmire\LOCALS~1\Temp\awtdypob.sys


---- System - GMER 1.0.15 ----

SSDT      F7AD57F6                                                                                                            ZwCreateKey
SSDT      F7AD57EC                                                                                                            ZwCreateThread
SSDT      F7AD57FB                                                                                                            ZwDeleteKey
SSDT      F7AD5805                                                                                                            ZwDeleteValueKey
SSDT      spyi.sys                                                                                                            ZwEnumerateKey [0xF72ACDA4]
SSDT      spyi.sys                                                                                                            ZwEnumerateValueKey [0xF72AD132]
SSDT      F7AD580A                                                                                                            ZwLoadKey
SSDT      spyi.sys                                                                                                            ZwOpenKey [0xF72940C0]
SSDT      F7AD57D8                                                                                                            ZwOpenProcess
SSDT      F7AD57DD                                                                                                            ZwOpenThread
SSDT      spyi.sys                                                                                                            ZwQueryKey [0xF72AD20A]
SSDT      spyi.sys                                                                                                            ZwQueryValueKey [0xF72AD08A]
SSDT      F7AD5814                                                                                                            ZwReplaceKey
SSDT      F7AD580F                                                                                                            ZwRestoreKey
SSDT      F7AD5800                                                                                                            ZwSetValueKey
SSDT      F7AD57E7                                                                                                            ZwTerminateProcess

INT 0x62  ?                                                                                                                   86DDFBF8
INT 0x63  ?                                                                                                                   86D72BF8
INT 0x73  ?                                                                                                                   86D72BF8
INT 0x82  ?                                                                                                                   86DDFBF8
INT 0xA4  ?                                                                                                                   866F3D20
INT 0xB4  ?                                                                                                                   866F3D20

---- Kernel code sections - GMER 1.0.15 ----

?         spyi.sys                                                                                                            Le fichier spécifié est introuvable. !
.text     USBPORT.SYS!DllUnload                                                                                               F65F48AC 5 Bytes  JMP 866F3300 
.text     C:\WINDOWS\system32\DRIVERS
v4_mini.sys                                                                            section is writeable [0xF5EA8360, 0x372FAD, 0xE8000020]
.text     azb6b4rn.SYS                                                                                                        F5E5B386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text     azb6b4rn.SYS                                                                                                        F5E5B3AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text     azb6b4rn.SYS                                                                                                        F5E5B3C4 3 Bytes  [00, 80, 02]
.text     azb6b4rn.SYS                                                                                                        F5E5B3C9 1 Byte  [30]
.text     azb6b4rn.SYS                                                                                                        F5E5B3C9 11 Bytes  [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text     ...                                                                                                                 
.text     C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                              section is writeable [0xB9F67300, 0x3AE88, 0xE8000020]
.text     C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                              section is writeable [0xF779F300, 0x1B7E, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text     C:\Program Files\Firefox3\firefox.exe[1636] ntdll.dll!LdrLoadDll                                                    7C9263C3 5 Bytes  JMP 004013F0 C:\Program Files\Firefox3\firefox.exe (Firefox/Mozilla Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT       atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [F7295042] spyi.sys
IAT       atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [F729513E] spyi.sys
IAT       atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                 [F72950C0] spyi.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                         [F7295800] spyi.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                 [F72956D6] spyi.sys
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!KfAcquireSpinLock]                                                18C4830E
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!READ_PORT_UCHAR]                                                  1C959E88
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!KeGetCurrentIrql]                                                 9E880000
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!KfRaiseIrql]                                                      00001CB1
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!KfLowerIrql]                                                      0E798366
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!HalGetInterruptVector]                                            74AAB000
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!HalTranslateBusAddress]                                           8986C636
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!KeStallExecutionProcessor]                                        1A00001C
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!KfReleaseSpinLock]                                                1C8B86C6
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                          C6020000
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!READ_PORT_USHORT]                                                 001C9686
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                         86C60200
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                 00001CB2
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[WMILIB.SYS!WmiSystemControl]                                              8800001C
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[WMILIB.SYS!WmiCompleteRequest]                                            001CB99E

---- Devices - GMER 1.0.15 ----

Device    \FileSystem\Ntfs \Ntfs                                                                                              86D711F8
Device    \FileSystem\Udfs \UdfsCdRom                                                                                         8639A500
Device    \FileSystem\Udfs \UdfsDisk                                                                                          8639A500
Device    \Driver\usbohci \Device\USBPDO-0                                                                                    866F4500
Device    \Driver\usbehci \Device\USBPDO-1                                                                                    866F1500
Device    \Driver\sptd \Device\302299652                                                                                      spyi.sys
Device    \Driver\PCI_PNP0902 \Device\00000046                                                                                spyi.sys
Device    \Driver\Ftdisk \Device\HarddiskVolume1                                                                              86D731F8
Device    \Driver\NetBT \Device\NetBT_Tcpip_{9E94A8A4-71D6-45DB-916F-2AF670169D9E}                                            85AD31F8
Device    \Driver\Ftdisk \Device\HarddiskVolume2                                                                              86D731F8
Device    \Driver\Cdrom \Device\CdRom0                                                                                        866F21F8
Device    \Driver\atapi \Device\Ide\IdePort0                                                                                  [F720DB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort1                                                                                  [F720DB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                                         [F720DB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                                         [F720DB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17                                                                        [F720DB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\Cdrom \Device\CdRom1                                                                                        866F21F8
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                             85AD31F8
Device    \Driver\NetBT \Device\NetbiosSmb                                                                                    85AD31F8
Device    \Driver\usbohci \Device\USBFDO-0                                                                                    866F4500
Device    \Driver
vata \Device\NvAta0                                                                                        86D721F8
Device    \Driver\usbehci \Device\USBFDO-1                                                                                    866F1500
Device    \Driver
vata \Device\NvAta1                                                                                        86D721F8
Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                   85B761F8
Device    \FileSystem\MRxSmb \Device\LanmanRedirector                                                                         85B761F8
Device    \Driver\Ftdisk \Device\FtControl                                                                                    86D731F8
Device    \Driver\azb6b4rn \Device\Scsi\azb6b4rn1                                                                             8657D500
Device    \Driver\azb6b4rn \Device\Scsi\azb6b4rn1Port4Path0Target0Lun0                                                        8657D500
Device    \FileSystem\Cdfs \Cdfs                                                                                              863B5500

---- Registry - GMER 1.0.15 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  2
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Program Files\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0xD4 0xC3 0x97 0x02 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 1
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x6D 0x6E 0x5E 0xF9 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0x3C 0x32 0xD8 0x81 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x30 0x3F 0x4D 0x21 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                    
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                 0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                              0xAF 0xA8 0x99 0xE5 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Program Files\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0xD4 0xC3 0x97 0x02 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     1
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x6D 0x6E 0x5E 0xF9 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x3C 0x32 0xD8 0x81 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x30 0x3F 0x4D 0x21 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                     0
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0xAF 0xA8 0x99 0xE5 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                     0
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0xAF 0xA8 0x99 0xE5 ...

---- Files - GMER 1.0.15 ----

File      C:\Pudelko                                                                                                          0 bytes
File      C:\Pudelko\kilka pieskow.mpg                                                                                        40796164 bytes
File      C:\Pudelko
auczyciel).mpeg                                                                                         65503232 bytes
File      C:\Pudelko\piesk polski.avi                                                                                         263360512 bytes
File      C:\Pudelko\pieski rekord].avi                                                                                       291211380 bytes
File      C:\Pudelko\piesl.mpg                                                                                                30005838 bytes
File      C:\Pudelko\slub.avi                                                                                                 121802752 bytes
File      C:\Pudelko\slubny.avi                                                                                               79020280 bytes
File      C:\Pudelko	atus.mpg                                                                                                18237444 bytes

---- EOF - GMER 1.0.15 ----

melmire · Answer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-15 21:05:17
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Melmire\LOCALS~1\Temp\awtdypob.sys


---- System - GMER 1.0.15 ----

SSDT      F7AD57F6                                                                                                            ZwCreateKey
SSDT      F7AD57EC                                                                                                            ZwCreateThread
SSDT      F7AD57FB                                                                                                            ZwDeleteKey
SSDT      F7AD5805                                                                                                            ZwDeleteValueKey
SSDT      spyi.sys                                                                                                            ZwEnumerateKey [0xF72ACDA4]
SSDT      spyi.sys                                                                                                            ZwEnumerateValueKey [0xF72AD132]
SSDT      F7AD580A                                                                                                            ZwLoadKey
SSDT      spyi.sys                                                                                                            ZwOpenKey [0xF72940C0]
SSDT      F7AD57D8                                                                                                            ZwOpenProcess
SSDT      F7AD57DD                                                                                                            ZwOpenThread
SSDT      spyi.sys                                                                                                            ZwQueryKey [0xF72AD20A]
SSDT      spyi.sys                                                                                                            ZwQueryValueKey [0xF72AD08A]
SSDT      F7AD5814                                                                                                            ZwReplaceKey
SSDT      F7AD580F                                                                                                            ZwRestoreKey
SSDT      F7AD5800                                                                                                            ZwSetValueKey
SSDT      F7AD57E7                                                                                                            ZwTerminateProcess

INT 0x62  ?                                                                                                                   86DDFBF8
INT 0x63  ?                                                                                                                   86D72BF8
INT 0x73  ?                                                                                                                   86D72BF8
INT 0x82  ?                                                                                                                   86DDFBF8
INT 0xA4  ?                                                                                                                   866F3D20
INT 0xB4  ?                                                                                                                   866F3D20

---- Kernel code sections - GMER 1.0.15 ----

?         spyi.sys                                                                                                            Le fichier spécifié est introuvable. !
.text     USBPORT.SYS!DllUnload                                                                                               F65F48AC 5 Bytes  JMP 866F3300 
.text     C:\WINDOWS\system32\DRIVERS
v4_mini.sys                                                                            section is writeable [0xF5EA8360, 0x372FAD, 0xE8000020]
.text     azb6b4rn.SYS                                                                                                        F5E5B386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text     azb6b4rn.SYS                                                                                                        F5E5B3AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text     azb6b4rn.SYS                                                                                                        F5E5B3C4 3 Bytes  [00, 80, 02]
.text     azb6b4rn.SYS                                                                                                        F5E5B3C9 1 Byte  [30]
.text     azb6b4rn.SYS                                                                                                        F5E5B3C9 11 Bytes  [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text     ...                                                                                                                 
.text     C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                              section is writeable [0xB9F67300, 0x3AE88, 0xE8000020]
.text     C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                              section is writeable [0xF779F300, 0x1B7E, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text     C:\Program Files\Firefox3\firefox.exe[1636] ntdll.dll!LdrLoadDll                                                    7C9263C3 5 Bytes  JMP 004013F0 C:\Program Files\Firefox3\firefox.exe (Firefox/Mozilla Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT       atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [F7295042] spyi.sys
IAT       atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [F729513E] spyi.sys
IAT       atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                 [F72950C0] spyi.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                         [F7295800] spyi.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                 [F72956D6] spyi.sys
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!KfAcquireSpinLock]                                                18C4830E
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!READ_PORT_UCHAR]                                                  1C959E88
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!KeGetCurrentIrql]                                                 9E880000
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!KfRaiseIrql]                                                      00001CB1
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!KfLowerIrql]                                                      0E798366
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!HalGetInterruptVector]                                            74AAB000
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!HalTranslateBusAddress]                                           8986C636
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!KeStallExecutionProcessor]                                        1A00001C
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!KfReleaseSpinLock]                                                1C8B86C6
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                          C6020000
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!READ_PORT_USHORT]                                                 001C9686
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                         86C60200
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                 00001CB2
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[WMILIB.SYS!WmiSystemControl]                                              8800001C
IAT       \SystemRoot\System32\Drivers\azb6b4rn.SYS[WMILIB.SYS!WmiCompleteRequest]                                            001CB99E

---- Devices - GMER 1.0.15 ----

Device    \FileSystem\Ntfs \Ntfs                                                                                              86D711F8
Device    \FileSystem\Udfs \UdfsCdRom                                                                                         8639A500
Device    \FileSystem\Udfs \UdfsDisk                                                                                          8639A500
Device    \Driver\usbohci \Device\USBPDO-0                                                                                    866F4500
Device    \Driver\usbehci \Device\USBPDO-1                                                                                    866F1500
Device    \Driver\sptd \Device\302299652                                                                                      spyi.sys
Device    \Driver\PCI_PNP0902 \Device\00000046                                                                                spyi.sys
Device    \Driver\Ftdisk \Device\HarddiskVolume1                                                                              86D731F8
Device    \Driver\NetBT \Device\NetBT_Tcpip_{9E94A8A4-71D6-45DB-916F-2AF670169D9E}                                            85AD31F8
Device    \Driver\Ftdisk \Device\HarddiskVolume2                                                                              86D731F8
Device    \Driver\Cdrom \Device\CdRom0                                                                                        866F21F8
Device    \Driver\atapi \Device\Ide\IdePort0                                                                                  [F720DB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort1                                                                                  [F720DB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                                         [F720DB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                                         [F720DB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17                                                                        [F720DB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\Cdrom \Device\CdRom1                                                                                        866F21F8
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                             85AD31F8
Device    \Driver\NetBT \Device\NetbiosSmb                                                                                    85AD31F8
Device    \Driver\usbohci \Device\USBFDO-0                                                                                    866F4500
Device    \Driver
vata \Device\NvAta0                                                                                        86D721F8
Device    \Driver\usbehci \Device\USBFDO-1                                                                                    866F1500
Device    \Driver
vata \Device\NvAta1                                                                                        86D721F8
Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                   85B761F8
Device    \FileSystem\MRxSmb \Device\LanmanRedirector                                                                         85B761F8
Device    \Driver\Ftdisk \Device\FtControl                                                                                    86D731F8
Device    \Driver\azb6b4rn \Device\Scsi\azb6b4rn1                                                                             8657D500
Device    \Driver\azb6b4rn \Device\Scsi\azb6b4rn1Port4Path0Target0Lun0                                                        8657D500
Device    \FileSystem\Cdfs \Cdfs                                                                                              863B5500

---- Registry - GMER 1.0.15 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  2
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Program Files\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0xD4 0xC3 0x97 0x02 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 1
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x6D 0x6E 0x5E 0xF9 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0x3C 0x32 0xD8 0x81 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x30 0x3F 0x4D 0x21 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                    
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                 0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                              0xAF 0xA8 0x99 0xE5 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Program Files\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0xD4 0xC3 0x97 0x02 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     1
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x6D 0x6E 0x5E 0xF9 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x3C 0x32 0xD8 0x81 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x30 0x3F 0x4D 0x21 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                     0
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0xAF 0xA8 0x99 0xE5 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                     0
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0xAF 0xA8 0x99 0xE5 ...

---- Files - GMER 1.0.15 ----

File      C:\Pudelko                                                                                                          0 bytes
File      C:\Pudelko\kilka pieskow.mpg                                                                                        40796164 bytes
File      C:\Pudelko
auczyciel).mpeg                                                                                         65503232 bytes
File      C:\Pudelko\piesk polski.avi                                                                                         263360512 bytes
File      C:\Pudelko\pieski rekord].avi                                                                                       291211380 bytes
File      C:\Pudelko\piesl.mpg                                                                                                30005838 bytes
File      C:\Pudelko\slub.avi                                                                                                 121802752 bytes
File      C:\Pudelko\slubny.avi                                                                                               79020280 bytes
File      C:\Pudelko	atus.mpg                                                                                                18237444 bytes

---- EOF - GMER 1.0.15 ----

gen-hackman · Answer

c'est normal ces videos en polonais dans ton disque ?

melmire · Answer

Oui :) et pour une fois ranges en un seul endroit :)

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em

 et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortcut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus. 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse.

melmire · Answer

Je crois que c'est ma freebox qui fait parfeu, comment je le desactive? ou tout betement, je coupe la connection?

gen-hackman · Answer

non fais comme ca le parefeu de la free ne derangera pas

melmire · Answer

voila le lien. entre temps l'ordi s'est remis a ramer, grrrrr.

http://www.cijoint.fr/cjlink.php?file=cj201006/cij4LkkdH4.txt

gen-hackman · Answer

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

melmire · Answer

voila : User : Melmire (Administrateurs) Update on 13/06/2010 by g3n-h@ckm@n ::::: 01.25 Start at: 10:46:51 | 16/06/2010 AMD Athlon(tm) 64 Processor 3800+ Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3 Internet Explorer 7.0.5730.11 Windows Firewall Status : Disabled AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ] C:\ -> Disque fixe local | 76,68 Go (25,52 Go free) | NTFS D:\ -> Disque fixe local | 115,04 Go (8,53 Go free) [Beskid] | NTFS E:\ -> Disque CD-ROM | 4,02 Go (0 Mo free) [BBDK] | UDF F:\ -> Disque CD-ROM ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\fsproflt.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\MGE\PersonalSolutionPac\RunSC.exe C:\Program Files\MGE\PersonalSolutionPac\PCtl.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\NVIDIA Corporation Tune TuneService.exe C:\Program Files\MGE\PersonalSolutionPac\BIL.EXE C:\WINDOWS\system32 vsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\MGE\PersonalSolutionPac\CILUSB.EXE C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Program Files\List_Kill'em\pv.exe ¤¤¤¤¤¤¤¤¤¤ Files/folders : Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache Quarantined & Deleted !! : C:\Program Files\WindowsUpdate Quarantined & Deleted !! : C:\Documents and Settings\Melmire\LOCAL Settings\Temp\Foxit Reader.exe Quarantined & Deleted !! : C:\Documents and Settings\Melmire\LOCAL Settings\Temp\FP_PL_PFS_INSTALLER.exe Quarantined & Deleted !! : C:\Documents and Settings\Melmire\LOCAL Settings\Temp\setup.exe Quarantined & Deleted !! : C:\Documents and Settings\Melmire\LOCAL Settings\Temp\Uninstall.exe Quarantined & Deleted !! : C:\Documents and Settings\Melmire\LOCAL Settings\Temp\Upgrade.exe Quarantined & Deleted !! : C:\Documents and Settings\Melmire\LOCAL Settings\Temp\VSUSetup.exe Quarantined & Deleted !! : C:\Documents and Settings\Melmire\LOCAL Settings\Temp\catchme.dll Quarantined & Deleted !! : C:\Documents and Settings\Melmire\LOCAL Settings\Temp\drm_dyndata_7400009.dll Quarantined & Deleted !! : C:\Documents and Settings\Melmire\LOCAL Settings\Temp\drm_dyndata_7410004.dll Quarantined & Deleted !! : C:\Documents and Settings\Melmire\Mes documents\ZbThumbnail.info Deleted !! : C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc1.rtf Deleted !! : C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc2.doc Deleted !! : C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc3.rtf Deleted !! : C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc4.rar Deleted !! : C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc5.zip Deleted !! : C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc6.txt Deleted !! : C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc7.rar ======= Hosts : ======= 127.0.0.1 localhost ======== Registry ======== Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383} Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe" Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe" Deleted : "HKLM\Software\Trymedia Systems" Deleted : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Irmon Deleted : HKLM\SYSTEM\CurrentControlSet\Services\Irmon Deleted : HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_Irmon Deleted : HKLM\SYSTEM\ControlSet002\Services\Irmon Deleted : HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_Irmon Deleted : HKLM\SYSTEM\ControlSet003\Services\Irmon ================= Internet Explorer ================= [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp Local Page REG_SZ C:\WINDOWS\system32\blank.htm Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.google.com/?gws_rd=ssl Local Page REG_SZ C:\WINDOWS\system32\blank.htm Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch =============== Security Center =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] AntiVirusOverride REG_DWORD 1 (0x1) FirewallOverride REG_DWORD 1 (0x1) AntiVirusDisableNotify REG_DWORD 0 (0x0) FirewallDisableNotify REG_DWORD 0 (0x0) UpdatesDisableNotify REG_DWORD 0 (0x0) FirstRunDisabled REG_DWORD 1 (0x1) ======== Services ========= Ndisuio : Start = 3 EapHost : Start = 2 Ip6Fw : Start = 2 SharedAccess : Start = 2 wuauserv : Start = 2 wscsvc : Start = 2 ============ Disk Cleaned anti-ver blaster : OK Prefetch cleaned ================ Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spen.sys >>UNKNOWN [0x86D93938]<< kernel: MBR read successfully user & kernel MBR OK

gen-hackman · Answer

&#9654 Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche    Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

&#9654 clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

c:\windows\System32\Drivers\azb6b4rn.SYS
c:\windows\System32\Drivers\spen.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

melmire · Answer

Aucun de deux fichiers n'existe sur mon ordinateur apparement, j'ai fais la recherche manuelle et par option "rechercher", je trouve rien qui porte ces noms.

gen-hackman · Answer

ok 

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option command lines

un document texte va s'ouvrir à l'apparition de : Text Please

&#9654copie/colle le texte en gras ci-dessous :

@echo off
mbr -f
mbr -t > mb.txt
notepad mb.txt
for %%a in (
"mb.txt"
mbr.log"
) do (
del /F/Q %%~a)
goto :eof 

ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil 

à la fin un rapport s'ouvre ,

&#9654 poste le resultat

melmire · Answer

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spen.sys >>UNKNOWN [0x86D93938]<< kernel: MBR read successfully user & kernel MBR OK

gen-hackman · Answer

zut j ai oublié un guillemet mais ca n a pas d incidence sur le resultat /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

melmire · Answer

J'ai rien touche, mais l'ecran est devenu noir et n'affiche plus rien. Du coup j'ai secoue la souris sans toucher aux boutons, mais ca change rien. Est-ce normal, j'attends encore? comme c'est pratique d'avoir un pourtable pour pouvoir ecrire quand meme :)

gen-hackman · Answer

lol tu m'etonnes

peux-tu m'expliquer exactement les etapes suivies par Combofix ?

melmire · Answer

J'ai suivie le guide, il m'a demande d'installer la console, il l'a installe, il m'a dit que l'analyse va commencer et devrait durer environt 10 minutes, je suis donc partie faire autre chose , et maintenant j'ai un ecran noir.  Ca a pas l'air de vouloir bouger, je fais quoi, je relance ordi?

gen-hackman · Answer

le temoin lumineux comme quoi la tour travaille est eteint ?

melmire · Answer

Non, la tour marchait et l'ecran aussi. Mais j'ai pris mon courage a deux main, j'ai appuie sur espace, et finalement, il a bien voulu me fournir le log!

ComboFix 10-06-15.03 - Melmire 16/06/2010  16:00:31.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1023.657 [GMT 2:00]
Lancé depuis: c:\documents and settings\Melmire\Bureau\Joannacb.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-05-16 au 2010-06-16  ))))))))))))))))))))))))))))))))))))
.

2010-06-16 06:35 . 2010-06-16 08:47	--------	d-----w-	C:\Kill'em
2010-06-16 06:35 . 2010-06-16 13:24	--------	d-----w-	c:\program files\List_Kill'em
2010-06-15 12:58 . 2010-06-15 16:20	--------	d-----w-	c:\program files\ZHPDiag
2010-06-14 15:26 . 2010-06-14 15:26	--------	d-----w-	c:\program files\Trend Micro
2010-06-12 14:09 . 2010-06-12 14:09	--------	d-----w-	c:\program files
ightshift-legacy-jaguars-eye
2010-06-11 17:08 . 2010-06-11 17:08	--------	d-----w-	c:\program files\ReflexiveArcade
2010-06-11 16:49 . 2010-06-11 16:50	--------	d-----w-	c:\program files\The Mystery of the Crystal Portal
2010-06-11 16:49 . 2010-06-11 16:49	--------	d-----w-	c:\windows\The Mystery of the Crystal Portal
2010-06-11 16:49 . 2010-06-11 21:31	--------	d-----w-	c:\program files\Hidden Expedition Amazon
2010-06-11 16:49 . 2010-06-11 16:49	--------	d-----w-	c:\windows\Hidden Expedition Amazon
2010-06-11 16:24 . 2010-06-11 16:24	--------	d-----w-	c:\documents and settings\Melmire\Application Data\cerasus.media
2010-06-11 16:21 . 2010-06-11 16:21	--------	d-----w-	c:\windows\Mystery Stories-Island of Hope
2010-06-11 16:21 . 2010-06-11 16:23	--------	d-----w-	c:\program files\Mystery Stories-Island of Hope
2010-06-10 21:10 . 2010-06-10 21:10	--------	d-----w-	c:\documents and settings\Melmire\Application Data\Top Evidence
2010-06-10 21:10 . 2010-06-10 21:10	--------	d-----w-	c:\documents and settings\All Users\Application Data\Top Evidence
2010-06-09 17:49 . 2010-06-09 17:49	--------	d-----w-	c:\documents and settings\Melmire\Application Data\SevenSails
2010-06-06 15:54 . 2010-06-06 15:54	--------	d-----w-	c:\documents and settings\Melmire\Application Data\Floodlight Games
2010-06-06 15:54 . 2010-06-06 15:54	--------	d-----w-	c:\documents and settings\All Users\Application Data\Floodlight Games
2010-06-05 13:16 . 2010-06-05 13:16	--------	d-----w-	c:\documents and settings\Melmire\Application Data\MagicIndie

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-16 09:42 . 2009-01-15 22:55	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-06-15 21:35 . 2010-02-22 23:08	1	----a-w-	c:\documents and settings\Melmire\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-14 15:20 . 2010-06-14 15:20	212	----a-w-	C:\curr_ver.tmp
2010-06-12 14:11 . 2008-03-24 15:24	--------	d-----w-	c:\documents and settings\Melmire\Application Data\PlayFirst
2010-06-12 14:11 . 2008-03-24 15:24	--------	d-----w-	c:\documents and settings\All Users\Application Data\PlayFirst
2010-06-12 12:22 . 2010-01-06 19:40	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2010-06-11 18:05 . 2001-08-28 12:00	85196	----a-w-	c:\windows\system32\perfc00C.dat
2010-06-11 18:05 . 2001-08-28 12:00	510290	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-10 22:14 . 2010-01-07 10:42	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-05-30 18:13 . 2006-08-26 19:11	--------	d-----w-	c:\documents and settings\Melmire\Application Data\dvdcss
2010-05-30 15:37 . 2010-05-01 18:04	--------	d-----r-	c:\program files\Skype
2010-05-30 13:55 . 2010-05-01 18:04	--------	d-----w-	c:\documents and settings\Melmire\Application Data\Skype
2010-05-21 08:30 . 2008-02-06 14:32	--------	d-----w-	c:\program files\Foxit Software
2010-05-04 17:17 . 2004-08-23 16:16	832512	----a-w-	c:\windows\system32\wininet.dll
2010-05-04 17:17 . 2004-08-19 23:09	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-05-04 17:17 . 2001-08-28 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-05-02 10:01 . 2010-05-02 09:48	--------	d-----w-	c:\program files\Blood Bowl
2010-05-02 08:08 . 2001-08-28 12:00	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-05-01 18:06 . 2010-05-01 18:06	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2010-05-01 18:06 . 2010-05-01 18:06	--------	d-----w-	c:\documents and settings\Melmire\Application Data\skypePM
2010-05-01 18:04 . 2010-05-01 18:04	--------	d-----w-	c:\program files\Fichiers communs\Skype
2010-05-01 18:04 . 2010-05-01 18:04	--------	d-----w-	c:\documents and settings\All Users\Application Data\Skype
2010-05-01 16:21 . 2008-03-27 01:40	--------	d-----w-	c:\program files\Fichiers communs\Real
2010-05-01 16:13 . 2007-02-14 13:36	--------	d-----w-	c:\program files\Java
2010-05-01 16:13 . 2007-02-14 13:35	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-05-01 14:44 . 2010-05-01 14:44	--------	d-----w-	c:\program files\InCode Solutions
2010-05-01 14:40 . 2010-05-01 14:40	1908	----a-w-	C:\UsbFix_Upload_Me_JOANNA.zip
2010-05-01 14:18 . 2010-04-29 20:39	--------	d-----w-	c:\program files\CCleaner
2010-04-29 13:39 . 2010-01-07 10:43	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-01-07 10:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-25 19:23 . 2009-03-23 19:49	--------	d-----w-	c:\program files\Google
2010-04-25 19:20 . 2010-04-25 19:20	--------	d-----w-	c:\program files\Pudelko
2010-04-24 18:24 . 2008-05-20 19:18	--------	d-----w-	c:\program files\Firefox3
2010-04-20 05:30 . 2001-08-28 12:00	285696	----a-w-	c:\windows\system32\atmfd.dll
2006-08-26 15:45 . 2006-08-26 15:33	952	--sha-w-	c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 577536]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"pspNetSystray"="c:\program files\MGE\PersonalSolutionPac\mgenetsystray.exe" [2007-12-19 1253376]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Melmire^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=c:\documents and settings\Melmire\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Melmire^Menu Démarrer^Programmes^Démarrage^Microsoft Recherche accélérée.lnk]
path=c:\documents and settings\Melmire\Menu Démarrer\Programmes\Démarrage\Microsoft Recherche accélérée.lnk
backup=c:\windows\pss\Microsoft Recherche accélérée.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-10-30 11:57	369200	----a-w-	c:\program files\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
2007-09-04 17:25	81920	----a-w-	c:\program files\NVIDIA Corporation
Tune
TuneCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-04-20 11:14	26192680	----a-r-	c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-11 14:21	246504	----a-w-	c:\program files\Fichiers communs\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"d:\Heroes of Might and Magic III Complete\Heroes3.exe"=
"c:\Program Files\Sins of a Solar Empire\Sins of a Solar Empire Diplomacy.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1031:TCP"= 1031:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R0 FSProFilter;FSPro File Filter;c:\windows\system32\drivers\FSPFltd.sys [25/04/2010 21:20 43792]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [20/11/2009 20:44 108289]
R2 fsproflt;FSPro Filter Service;c:\windows\system32\fsproflt.exe [25/04/2010 21:20 142648]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [02/01/2008 20:26 691696]
S2 EasyModApache;EasyModApache;"c:\program files\EasyBox\apache\apache.exe" -k runservice --> c:\program files\EasyBox\apache\apache.exe [?]
S2 MGE Service module;MGE Service module;c:\program files\MGE\PersonalSolutionPac\RunSC.exe [11/06/2009 18:46 126976]
S2 SolidWorks SolidNetWork License Manager;SolidWorks SolidNetWork License Manager;d:\solidworks 2005 sp0 crack (ita-eng-fra)\Crack\lmgrd.exe --> d:\solidworks 2005 sp0 crack (ita-eng-fra)\Crack\lmgrd.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Melmire\Application Data\Mozilla\Firefox\Profiles\ua4hk0w6.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Firefox3\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Firefox3\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Firefox3\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Firefox3\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Firefox3\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Firefox3\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Firefox3\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Firefox3\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Firefox3\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Firefox3\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-msnmsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-16 16:04
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 


C:\Pudelko

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-117609710-362288127-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c0,08,df,89,4e,91,94,78,6f,fb,37,74,3e,20,af,c8,97,da,b2,61,e2,b0,a0,
   bb,79,76,be,df,be,82,ea,69,cd,87,ca,e0,58,e4,ed,46,fe,2d,42,f9,55,a8,69,dd,\
"??"=hex:23,26,e4,8a,6c,f8,a9,c7,4f,c2,39,8f,c9,18,24,45

[HKEY_USERS\S-1-5-21-117609710-362288127-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:f4,b8,90,3f,3e,3e,b7,05,7e,20,c5,b9,d5,92,f6,3f,0e,e2,64,2a,85,
   65,d8,63,5c,74,5e,9b,4f,d2,d3,c9,b2,a4,db,5b,6d,7a,c4,fc,da,23,49,9b,d5,18,\
"rkeysecu"=hex:f9,b6,d4,65,23,0c,97,13,72,4b,91,3e,eb,36,0c,55
.
Heure de fin: 2010-06-16  16:07:06
ComboFix-quarantined-files.txt  2010-06-16 14:06

Avant-CF: 27 294 220 288 octets libres
Après-CF: 28 464 627 712 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /fastdetect /NoExecute=OptIn

- - End Of File - - 02F9DEAA19419F7FA87CF4B958695C3C


Faut admettre que pour une non-initie, depannage informatique donne parfois des pousses d'adrenaline :)

gen-hackman · Answer

pourquoi ceci est un fichier caché ? c'est voulu ? C:\Pudelko

melmire · Answer

Oui, a la base c'est c'est le lockbox, renomme par mes soins.

gen-hackman · Answer

&#9654 Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche    Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

&#9654 clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

c:\windows\system32\atmfd.dll 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

melmire · Answer

Ficher deja analyse par le passé

Fichier atmfd.dll reçu le 2010.06.10 15:25:42 (UTC)
Situation actuelle: terminé
Résultat: 0/41 (0.00%)

File size: 285696 bytes
MD5   : 906050fbb3986987441acc9307505713
SHA1  : 0e7d02b24aebc493925faee5acbe67e54dfb01d9
SHA256: 39228e8c9c44407b96fe75aec1983dcdf7d515ee2aea555f33ba835e76cce639
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13AF7
timedatestamp.....: 0x4BCD3C0E (Tue Apr 20 07:30:54 2010)
machinetype.......: 0x14C (Intel I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x32E73 0x32E80 6.69 64e09a049b22ddd44bc0d50aeefe27ce
.rdata 0x33180 0x6438 0x6480 5.08 f894633066bfa209d07f2aef9393546d
.data 0x39600 0x86D8 0x8700 6.02 b03e993c963f632124d653707ea7ad3d
INIT 0x41D00 0x43A 0x480 5.17 7cc35854c186bf66010d5d4fac55c5a0
.rsrc 0x42180 0x548 0x580 3.32 e8249e559b729e43d0eb2cf762459d2d
.reloc 0x42700 0x34F8 0x3500 6.63 95131e9969597dfa2b1c59431551a2af

( 1 imports )

> win32k.sys: EngFntCacheFault, EngFntCacheAlloc, EngFntCacheLookUp, EngCreateSemaphore, EngReleaseSemaphore, EngAcquireSemaphore, EngSetLastError, EngMulDiv, XFORMOBJ_iGetXform, FONTOBJ_pxoGetXform, FONTOBJ_pifi, EngGetCurrentCodePage, PATHOBJ_bPolyLineTo, PATHOBJ_bPolyBezierTo, PATHOBJ_bCloseFigure, PATHOBJ_bMoveTo, EngGetFileChangeTime, EngGetFilePath, EngUnmapFontFileFD, EngUnmapFontFile, EngFreeModule, EngAllocMem, EngMapModule, EngLoadModule, EngLoadModuleForWrite, EngMapFontFileFD, EngMapFontFile, EngUnicodeToMultiByteN, EngMultiByteToUnicodeN, EngMultiByteToWideChar, FLOATOBJ_MulFloat, EngFreeMem, FLOATOBJ_GetLong, FLOATOBJ_Neg, FLOATOBJ_AddFloat, FLOATOBJ_Add, FLOATOBJ_DivLong, FLOATOBJ_AddLong, FLOATOBJ_MulLong, FLOATOBJ_SetLong, EngBugCheckEx, RtlUnwind, RtlUnicodeToMultiByteN

( 0 exports )
TrID  : File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 6144:MOQfjtD1qYffdyHwsPz3xquGzlyOpNvaVE9CuqNmqZ3DOtdlLSG3Eq1:MtfPtfSz73xqbyOTaKHqND3DOkq1
sigcheck: publisher....: Adobe Systems Incorporated
copyright....: (c)1983-1990, 1993-2004 Adobe Systems Inc.
product......: Adobe Type Manager
description..: Windows NT OpenType/Type 1 Font Driver
original name: ATMFD.DLL
internal name: ATMFD
file version.: 5.1 Build 228
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD  : -
RDS   : NSRL Reference Data Set
-

gen-hackman · Answer

clique sur "reanalyser le fichier"

melmire · Answer

Fichier atmfd.dll reçu le 2010.06.16 22:41:17 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 40 et 57 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	5.0.0.26	2010.06.16	-
AhnLab-V3	2010.06.16.07	2010.06.16	-
AntiVir	8.2.2.6	2010.06.16	-
Antiy-AVL	2.0.3.7	2010.06.11	-
Authentium	5.2.0.5	2010.06.16	-
Avast	4.8.1351.0	2010.06.16	-
Avast5	5.0.332.0	2010.06.16	-
AVG	9.0.0.787	2010.06.17	-
BitDefender	7.2	2010.06.17	-
CAT-QuickHeal	10.00	2010.06.16	-
ClamAV	0.96.0.3-git	2010.06.16	-
Comodo	5124	2010.06.16	-
DrWeb	5.0.2.03300	2010.06.16	-
eSafe	7.0.17.0	2010.06.16	-
F-Prot	4.6.0.103	2010.06.16	-
F-Secure	9.0.15370.0	2010.06.17	-
Fortinet	4.1.133.0	2010.06.16	-
GData	21	2010.06.16	-
Ikarus	T3.1.1.84.0	2010.06.16	-
Jiangmin	13.0.900	2010.06.15	-
Kaspersky	7.0.0.125	2010.06.16	-
McAfee	5.400.0.1158	2010.06.17	-
McAfee-GW-Edition	2010.1	2010.06.16	-
Microsoft	1.5802	2010.06.16	-
NOD32	5202	2010.06.16	-
Norman	6.04.12	2010.06.16	-
nProtect	2010-06-16.01	2010.06.16	-
Panda	10.0.2.7	2010.06.16	-
PCTools	7.0.3.5	2010.06.16	-
Prevx	3.0	2010.06.17	-
Rising	22.51.06.01	2010.06.13	-
Sophos	4.54.0	2010.06.16	-
Sunbelt	6456	2010.06.16	-
Symantec	20101.1.0.89	2010.06.16	-
TheHacker	6.5.2.0.299	2010.06.15	-
TrendMicro	9.120.0.1004	2010.06.16	-
TrendMicro-HouseCall	9.120.0.1004	2010.06.17	-
VBA32	3.12.12.5	2010.06.16	-
ViRobot	2010.6.14.3884	2010.06.16	-
VirusBuster	5.0.27.0	2010.06.16	-
Information additionnelle
File size: 285696 bytes
MD5...: 906050fbb3986987441acc9307505713
SHA1..: 0e7d02b24aebc493925faee5acbe67e54dfb01d9
SHA256: 39228e8c9c44407b96fe75aec1983dcdf7d515ee2aea555f33ba835e76cce639
ssdeep: 6144:MOQfjtD1qYffdyHwsPz3xquGzlyOpNvaVE9CuqNmqZ3DOtdlLSG3Eq1:Mtf
PtfSz73xqbyOTaKHqND3DOkq1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13af7
timedatestamp.....: 0x4bcd3c0e (Tue Apr 20 05:30:54 2010)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x32e73 0x32e80 6.69 64e09a049b22ddd44bc0d50aeefe27ce
.rdata 0x33180 0x6438 0x6480 5.08 f894633066bfa209d07f2aef9393546d
.data 0x39600 0x86d8 0x8700 6.02 b03e993c963f632124d653707ea7ad3d
INIT 0x41d00 0x43a 0x480 5.17 7cc35854c186bf66010d5d4fac55c5a0
.rsrc 0x42180 0x548 0x580 3.32 e8249e559b729e43d0eb2cf762459d2d
.reloc 0x42700 0x34f8 0x3500 6.63 95131e9969597dfa2b1c59431551a2af

( 1 imports )
> WIN32K.SYS: EngFntCacheFault, EngFntCacheAlloc, EngFntCacheLookUp, EngCreateSemaphore, EngReleaseSemaphore, EngAcquireSemaphore, EngSetLastError, EngMulDiv, XFORMOBJ_iGetXform, FONTOBJ_pxoGetXform, FONTOBJ_pifi, EngGetCurrentCodePage, PATHOBJ_bPolyLineTo, PATHOBJ_bPolyBezierTo, PATHOBJ_bCloseFigure, PATHOBJ_bMoveTo, EngGetFileChangeTime, EngGetFilePath, EngUnmapFontFileFD, EngUnmapFontFile, EngFreeModule, EngAllocMem, EngMapModule, EngLoadModule, EngLoadModuleForWrite, EngMapFontFileFD, EngMapFontFile, EngUnicodeToMultiByteN, EngMultiByteToUnicodeN, EngMultiByteToWideChar, FLOATOBJ_MulFloat, EngFreeMem, FLOATOBJ_GetLong, FLOATOBJ_Neg, FLOATOBJ_AddFloat, FLOATOBJ_Add, FLOATOBJ_DivLong, FLOATOBJ_AddLong, FLOATOBJ_MulLong, FLOATOBJ_SetLong, EngBugCheckEx, RtlUnwind, RtlUnicodeToMultiByteN

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: Adobe Systems Incorporated
copyright....: (c)1983-1990, 1993-2004 Adobe Systems Inc.
product......: Adobe Type Manager
description..: Windows NT OpenType/Type 1 Font Driver
original name: ATMFD.DLL
internal name: ATMFD
file version.: 5.1 Build 228
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

gen-hackman · Answer

non ben c'est bon plus rien ne m'inquiete sur ce pc

melmire · Answer

Eh ben, merci beaucoup, je pensais pas que tu veillais aussi tardivement !
Ce fut un plaisir de me faire aider par tes soins :)
Bonne nuit, et j'espère, a la prochaine, mais pas bientôt, hein ;)

gen-hackman · Answer

le menage pour le final :) Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace ▶---> Télécharge ToolsCleaner2sur ton Bureau. * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ___________________________________________________ ▶ Tu peux supprimer ToolCleaner ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

melmire · Answer

Whou, ca en fait des choses,je me lance de suite et je continuerai demain ;) et je garderai precieusement la liste pour l'avenir :)

Voila le rapport de Toolscleaner

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc16\mbr.log: trouvé !
C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc17\HijackThis.exe: trouvé !
C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc17\hijackthis.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc17\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc16\mbr.log: supprimé !
C:\RECYCLER\S-1-5-21-117609710-362288127-839522115-1004\Dc17\hijackthis.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !

gen-hackman · Answer

hello

ok c'est bon

melmire · Answer

Malheureusement mon probleme persiste. Apparemment ce n'est donc pas lie aux virus éventuels. Ce n'est pas non plus le probleme de la connection, a mon avis, parce que les pages s'affichent rapidement, c'est sjuste que mon rodi ne suis pas quand je fais defiler la page ou quand j'ecris.Ou quand je fais le click droit.
Aurais-tu un conseil, peut etre je dois aller dans une autre section de forum?

gen-hackman · Answer

je ne vois pas ce que ca peut etre d'autre qui fasse ca.........:S

melmire · Answer

Sans doute une malediction. Ca pourrait pas etre lie d'une facon ou d'une autre avec firefox? parce qu'en dehors d'utilisation de net tout semble normal (pdf, doc se lisent sans freez)

gen-hackman · Answer

essaie de le desinstaller et reinstaller...peut être :)

melmire · Answer

Il y a un moyenb pour garder ses favoris et barres perso? je sais que la j'abuse legerement de ta gentillesse :) mais c'est pas evident de chercher avec ces frrez de crotte !

melmire · Answer

Bon, intelligence, quand tu nous tiens...je teste IE, ca marche bien, du coup je vais faire mes recherches avec.
J'irai poser mes questions dans la section "internet", car une desinstallation/reinstalation n'ont rien donne :(

gen-hackman · Answer

salut

effectivement .....

Demande de l'analyse Hijackthis (ordi lent)

49 réponses

Discussions similaires