Cheval de troie generic:17bemo

Résolu
swingin33 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   -  
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

après plusieurs manipulation et antivirus j'ai toujours ce Pb.
j'ai réinstallé AVG antivirus.
il me demande d'accepter au démarrage la connexion de "l'application services et contrôleurs".
ce qui est je pense normale, mais quand j'accepte il me détecte :
"Menace a été bloqué,
nom de fichier: gbsup.com/csrv.exe
nom de la menace:cheval de Troie generic:17bemo
nom du processus: h:\windows\sytem32\services.exe"
pouvez vous m'aider svp.


A voir également:

29 réponses

  • 1
  • 2
Réponse 1 / 29
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
No action taken.

tu ne l'as pas supprimé et bien sûr plus besoin de virus total

j'attends demain pour fermer le post mais ca a l'air d'aller mieux!!!
merci


=> je t'indiquerai le moment

vu que c'est du rootkit, il ne faut pas jouer

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\


? Télécharge : Gmer (by Przemyslaw Gmerek)

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
1
Réponse 2 / 29
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
bonjour

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr => utiliser https://www.cjoint.com/
0
Réponse 3 / 29
swingin33 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
bonjour et merci Moment de grâce pour ce moment de partage.

voici le liens du fichier:
http://www.cijoint.fr/cjlink.php?file=cj201006/cij9qPP2jM.txt
0
Réponse 4 / 29
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
ok

à priori AVG a bien fait le travail

néanmoins

1)

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :


H:\WINDOWS\system32\drivers\frxfh.sys


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK

.............................

2)


Téléchargez MalwareByte's Anti-Malware (que tu pourras garder)


http://www.malwarebytes.org/mbam/program/mbam-setup.exe

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
swingin33 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
rien ne se passe avec virus total pour ce fichier sys, aucun compte rendu.
normale ou pas? avec un autre fichier ca a marché.

je viens de penser: j'ai fait le diag avec zhpdiag après que AVG ai détecté le PB et l'ai mi en quarantaine. ne faudrait il pas faire le diag avant vu qu'il revient a chaque redémarrage?

je fais un essai avec MalwareByte's Anti-Malware.

merci
0
Réponse 6 / 29
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
pour VT essaies encore

pour zhp non pas de soucis

ok pour mbam

on verra apres lui
0
Réponse 7 / 29
swingin33 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
voila le résultat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4206

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

16/06/2010 19:15:23
mbam-log-2010-06-16 (19-15-23).txt

Type d'examen: Examen complet (H:\|)
Elément(s) analysé(s): 176861
Temps écoulé: 31 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
H:\WINDOWS\system32\drivers\frxfh.sys (Rootkit.Agent) -> No action taken.

j'attends demain pour fermer le post mais ca a l'air d'aller mieux!!!
merci
0
Réponse 8 / 29
swingin33 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
par contre vt n'a pas fonctionné sur ce fichier?
0
Réponse 9 / 29
swingin33 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
je ne sais comment, malware a fait 2 rapports 1 avant (le premier posté)
et l'autre si aprés. (delete on reboot).
entre temps j'ai refait un test malware et rien n'a été trouvé
je lance quand meme gmer


www.malwarebytes.org

Version de la base de données: 4206

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

16/06/2010 19:16:06
mbam-log-2010-06-16 (19-16-06).txt

Type d'examen: Examen complet (H:\|)
Elément(s) analysé(s): 176861
Temps écoulé: 31 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
H:\WINDOWS\system32\drivers\frxfh.sys (Rootkit.Agent) -> Delete on reboot
0
Réponse 10 / 29
swingin33 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
effectivement voila le rapprt gmer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-16 21:53:08
Windows 5.1.2600 Service Pack 3
Running: e1wy0hqk.exe; Driver: H:\DOCUME~1\latches\LOCALS~1\Temp\awtdrkow.sys


---- System - GMER 1.0.15 ----

SSDT \??\H:\Program Files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwOpenProcess [0xF80CA670] <-- ROOTKIT !!!
SSDT \??\H:\Program Files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateProcess [0xF80CA720] <-- ROOTKIT !!!
SSDT \??\H:\Program Files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateThread [0xF80CA7C0] <-- ROOTKIT !!!
SSDT \??\H:\Program Files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwWriteVirtualMemory [0xF80CA860] <-- ROOTKIT !!!

---- Kernel code sections - GMER 1.0.15 ----

? wyplqa.sys Le fichier spécifié est introuvable. !
? frxfh.sys Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text H:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[1132] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 32605629 H:\Program Files\Fichiers communs\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)
.text H:\Program Files\Mozilla Firefox\firefox.exe[3396] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 H:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs AVGIDSFilter.sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat AVGIDSFilter.sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT] frxfh <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\frxfh@Type 1
Reg HKLM\SYSTEM\ControlSet001\Services\frxfh@Start 0
Reg HKLM\SYSTEM\ControlSet001\Services\frxfh@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet001\Services\frxfh@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet001\Services\frxfh@{f7c802b2-ba04-8c15-4fbb-777c34e19845} 1
Reg HKLM\SYSTEM\ControlSet002\Services\frxfh@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\frxfh@Start 0
Reg HKLM\SYSTEM\ControlSet002\Services\frxfh@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\frxfh@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\Services\frxfh@{f7c802b2-ba04-8c15-4fbb-777c34e19845} 1
Reg HKLM\SYSTEM\ControlSet003\Services\frxfh@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\frxfh@Start 0
Reg HKLM\SYSTEM\ControlSet003\Services\frxfh@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\frxfh@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet003\Services\frxfh@{f7c802b2-ba04-8c15-4fbb-777c34e19845} 1
Reg HKLM\SYSTEM\ControlSet004\Services\frxfh@Type 1
Reg HKLM\SYSTEM\ControlSet004\Services\frxfh@Start 0
Reg HKLM\SYSTEM\ControlSet004\Services\frxfh@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet004\Services\frxfh@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet004\Services\frxfh@{f7c802b2-ba04-8c15-4fbb-777c34e19845} 1
Reg HKLM\SYSTEM\ControlSet005\Services\frxfh@Type 1
Reg HKLM\SYSTEM\ControlSet005\Services\frxfh@Start 0
Reg HKLM\SYSTEM\ControlSet005\Services\frxfh@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet005\Services\frxfh@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet005\Services\frxfh@{f7c802b2-ba04-8c15-4fbb-777c34e19845} 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\frxfh@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\frxfh@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\frxfh@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\frxfh@Group Boot Bus Extender
Reg HKLM\SYSTEM\CurrentControlSet\Services\frxfh@{f7c802b2-ba04-8c15-4fbb-777c34e19845} 1
Reg HKLM\SYSTEM\ControlSet007\Services\frxfh@Type 1
Reg HKLM\SYSTEM\ControlSet007\Services\frxfh@Start 0
Reg HKLM\SYSTEM\ControlSet007\Services\frxfh@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet007\Services\frxfh@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet007\Services\frxfh@{f7c802b2-ba04-8c15-4fbb-777c34e19845} 1

---- EOF - GMER 1.0.15 ----
0
Réponse 11 / 29
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt



0
Réponse 12 / 29
chai1310 Messages postés 269 Date d'inscription   Statut Membre Dernière intervention   84
 
arrete le processus en allant dans le gestionnaire des taches (clique droit sur la barres des taches en bas)>processus (en haut)
apres tu cherche le nom du processus (celui qui t'a ete communiquer par avg)
ensuite tu fait clique droit et arrete le processus
0
Réponse 13 / 29
swingin33
 
bonjour,voici le rapport combofix
ComboFix 10-06-16.02 - latches 17/06/2010 9:39.3.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.703.349 [GMT 2:00]
Lancé depuis: c:\video\Downloads\ComboFix.exe
AV: AVG Internet Security *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *disabled* {8decf618-9569-4340-b34a-d78d28969b66}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-05-17 au 2010-06-17 ))))))))))))))))))))))))))))))))))))
.

2010-06-16 16:33 . 2010-06-16 16:33 -------- d-----w- h:\documents and settings\latches\Application Data\Malwarebytes
2010-06-16 16:33 . 2010-04-29 13:39 38224 ----a-w- h:\windows\system32\drivers\mbamswissarmy.sys
2010-06-16 16:33 . 2010-06-16 16:33 -------- d-----w- h:\program files\Malwarebytes' Anti-Malware
2010-06-16 16:33 . 2010-06-16 16:33 -------- d-----w- h:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-16 16:33 . 2010-04-29 13:39 20952 ----a-w- h:\windows\system32\drivers\mbam.sys
2010-06-16 09:50 . 2010-06-16 09:52 -------- d-----w- h:\program files\ZHPDiag
2010-06-13 17:02 . 2010-06-13 17:02 -------- d-----w- h:\documents and settings\latches\Application Data\AVG9
2010-06-12 08:04 . 2010-06-16 21:22 0 ----a-w- h:\documents and settings\latches\Local Settings\Application Data\prvlcl.dat
2010-06-11 12:52 . 2010-06-11 12:52 -------- d-----w- h:\program files\navilog1
2010-06-11 12:49 . 2010-06-11 12:52 -------- d---a-w- H:\Navilog1
2010-06-11 12:28 . 2010-06-11 12:28 579584 -c--a-w- h:\windows\system32\dllcache\user32.dll
2010-06-11 12:26 . 2010-06-11 12:27 -------- d-----w- h:\windows\ERUNT
2010-06-11 12:25 . 2010-06-11 12:36 -------- d-----w- H:\SDFix
2010-06-11 08:58 . 2010-06-11 08:58 29512 ----a-w- h:\documents and settings\All Users\Application Data\avg9\update\backup\avgmfx86.sys
2010-06-11 08:58 . 2010-06-11 08:58 242896 ----a-w- h:\documents and settings\All Users\Application Data\avg9\update\backup\avgtdix.sys
2010-06-11 08:50 . 2010-06-16 21:20 -------- d-----w- h:\windows\system32\drivers\Avg
2010-06-11 08:50 . 2010-06-11 08:50 12464 ----a-w- h:\windows\system32\avgrsstx.dll
2010-06-11 08:50 . 2010-06-11 08:50 25096 ----a-w- h:\windows\system32\drivers\AVGIDSxx.sys
2010-06-11 08:50 . 2010-06-11 08:58 242896 ----a-w- h:\windows\system32\drivers\avgtdix.sys
2010-06-11 08:50 . 2010-06-11 08:50 52872 ----a-w- h:\windows\system32\drivers\avgrkx86.sys
2010-06-11 08:50 . 2010-06-11 08:50 216200 ----a-w- h:\windows\system32\drivers\avgldx86.sys
2010-06-11 08:50 . 2010-06-11 08:58 29584 ----a-w- h:\windows\system32\drivers\avgmfx86.sys
2010-06-11 08:50 . 2010-06-11 08:50 50968 ----a-w- h:\windows\system32\avgfwdx.dll
2010-06-11 08:50 . 2010-06-11 08:50 30104 ----a-w- h:\windows\system32\drivers\avgfwdx.sys
2010-06-11 08:50 . 2010-06-11 08:50 -------- d-----w- h:\documents and settings\All Users\Application Data\avg9
2010-05-28 19:22 . 2010-05-28 19:22 -------- d-----w- h:\documents and settings\latches\Local Settings\Application Data\WMTools Downloaded Files
2010-05-28 18:03 . 2008-04-13 17:39 5504 -c--a-w- h:\windows\system32\dllcache\mstee.sys
2010-05-28 18:03 . 2008-04-13 17:39 5504 ----a-w- h:\windows\system32\drivers\MSTEE.sys
2010-05-28 16:09 . 2010-05-28 16:09 3310 ----a-r- h:\documents and settings\latches\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_16496df1.exe
2010-05-28 16:09 . 2010-05-28 16:09 1078 ----a-r- h:\documents and settings\latches\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_69525f90.exe
2010-05-28 16:09 . 2010-05-28 16:09 1078 ----a-r- h:\documents and settings\latches\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_4ae13d6c.exe
2010-05-28 16:09 . 2010-05-28 16:09 1078 ----a-r- h:\documents and settings\latches\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_2cd672ae.exe
2010-05-28 16:09 . 2010-05-28 16:09 1078 ----a-r- h:\documents and settings\latches\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_294823.exe
2010-05-28 16:09 . 2010-05-28 16:09 1078 ----a-r- h:\documents and settings\latches\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_18be6784.exe
2010-05-28 16:09 . 2010-05-28 16:09 -------- d-----w- h:\program files\Power Tab Software

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-16 15:57 . 2009-11-19 14:06 -------- d-----w- h:\documents and settings\latches\Application Data\vlc
2010-06-11 14:21 . 2009-11-27 17:17 -------- d-----w- h:\program files\Lexmark X1100 Series
2010-06-02 08:14 . 2009-11-20 10:30 -------- d-----w- h:\documents and settings\latches\Application Data\dvdcss
2010-05-29 13:00 . 2009-11-11 17:31 74608 ----a-w- h:\documents and settings\latches\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-25 16:06 . 2010-04-01 15:38 -------- d-----w- h:\program files\azebon
2010-05-21 12:30 . 2010-02-28 17:34 -------- d-----w- h:\documents and settings\All Users\Application Data\Lavasoft
2010-05-07 13:27 . 2010-05-06 13:40 -------- d-----w- h:\program files\MuseScore 0.9
2010-04-29 11:14 . 2010-04-26 09:52 -------- d-----w- h:\program files\QuickTime
2010-04-29 11:14 . 2010-04-29 11:14 -------- d-----w- h:\documents and settings\All Users\Application Data\Apple Computer
2010-04-26 09:52 . 2010-02-28 17:37 -------- d-----w- h:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-26 09:52 . 2010-04-13 14:06 -------- d-----w- h:\program files\QuickTime(2)
2010-04-01 15:37 . 2010-04-01 15:37 253952 ------w- h:\windows\Setup1.exe
2010-04-01 15:37 . 2010-04-01 15:37 74752 ----a-w- h:\windows\ST6UNST.EXE
2010-04-01 15:23 . 2010-04-01 15:23 171520 ----a-w- h:\windows\system32\cncs32.dll
2010-03-28 14:35 . 2004-08-05 12:00 85404 ----a-w- h:\windows\system32\perfc00C.dat
2010-03-28 14:35 . 2004-08-05 12:00 513080 ----a-w- h:\windows\system32\perfh00C.dat
.

((((((((((((((((((((((((((((( SnapShot@2010-03-01_18.28.09 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-17 07:37 . 2010-06-17 07:37 16384 h:\windows\temp\Perflib_Perfdata_21c.dat
+ 2009-11-27 17:18 . 2001-08-23 16:47 87040 h:\windows\system32\wiafbdrv(6).dll
+ 2009-11-27 17:18 . 2001-08-23 16:47 87040 h:\windows\system32\wiafbdrv(5).dll
+ 2009-11-27 17:18 . 2001-08-23 16:47 87040 h:\windows\system32\wiafbdrv(4).dll
+ 2009-11-27 17:18 . 2001-08-23 16:47 87040 h:\windows\system32\wiafbdrv(3).dll
+ 2009-11-27 17:18 . 2001-08-23 16:47 87040 h:\windows\system32\wiafbdrv(2).dll
+ 2010-05-28 18:02 . 2008-04-14 01:33 54784 h:\windows\system32\vfwwdm32.dll
+ 1998-06-17 22:00 . 1998-06-17 22:00 89360 h:\windows\system32\VB5DB.DLL
+ 2010-02-28 16:41 . 2010-05-20 12:38 47912 h:\windows\system32\Restore\rstrlog.dat
- 2004-08-05 12:00 . 2009-12-10 08:56 71904 h:\windows\system32\perfc009.dat
+ 2004-08-05 12:00 . 2010-03-28 14:35 71904 h:\windows\system32\perfc009.dat
+ 2010-05-28 18:02 . 2008-04-13 17:46 19200 h:\windows\system32\drivers\WSTCODEC.SYS
+ 2010-05-28 18:02 . 2008-04-13 17:46 15232 h:\windows\system32\drivers\StreamIP.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 11136 h:\windows\system32\drivers\SLIP.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 10880 h:\windows\system32\drivers\NdisIP.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 85248 h:\windows\system32\drivers\NABTSFEC.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 51200 h:\windows\system32\drivers\msdv.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 17024 h:\windows\system32\drivers\CCDECODE.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 38912 h:\windows\system32\drivers\avc.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 48128 h:\windows\system32\drivers\61883.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 19200 h:\windows\system32\dllcache\wstcodec.sys
+ 2010-05-28 18:02 . 2008-04-14 01:33 54784 h:\windows\system32\dllcache\vfwwdm32.dll
+ 2010-05-28 18:02 . 2008-04-13 17:46 15232 h:\windows\system32\dllcache\streamip.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 11136 h:\windows\system32\dllcache\slip.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 10880 h:\windows\system32\dllcache\ndisip.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 85248 h:\windows\system32\dllcache\nabtsfec.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 51200 h:\windows\system32\dllcache\msdv.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 17024 h:\windows\system32\dllcache\ccdecode.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 38912 h:\windows\system32\dllcache\avc.sys
+ 2010-05-28 18:02 . 2008-04-13 17:46 48128 h:\windows\system32\dllcache\61883.sys
+ 2010-04-01 15:23 . 2010-04-01 15:23 40960 h:\windows\PingPongBall\uninstal.exe
+ 2010-03-29 17:49 . 2010-03-29 17:49 27136 h:\windows\Installer\{6956856F-B6B3-4BE0-BA0B-8F495BE32033}\AppleSoftwareUpdateIco.exe
+ 2010-06-11 12:27 . 2010-06-11 12:27 8192 h:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2010-06-11 12:27 . 2010-06-11 12:27 8192 h:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2003-09-25 19:47 . 2000-04-27 23:57 398416 h:\windows\system32\VBRUN300.DLL
+ 2000-10-01 22:00 . 2000-10-01 22:00 119568 h:\windows\system32\VB6FR.DLL
+ 2004-08-05 12:00 . 2010-03-28 14:35 444028 h:\windows\system32\perfh009.dat
- 2004-08-05 12:00 . 2009-12-10 08:56 444028 h:\windows\system32\perfh009.dat
+ 2009-11-11 17:59 . 2010-05-29 04:45 280536 h:\windows\system32\FNTCACHE.DAT
+ 2010-04-01 15:23 . 2010-04-01 15:23 228864 h:\windows\PingPongBall\PingPongBall.exe
+ 2010-04-29 11:11 . 2010-04-29 11:11 791552 h:\windows\Installer\2ce41f.msi
+ 2010-05-28 16:09 . 2010-05-28 16:09 101376 h:\windows\Installer\1c42d65.msi
- 2009-12-22 17:30 . 2009-12-22 17:30 796672 h:\windows\GPInstall.exe
+ 2009-12-22 17:30 . 2010-03-04 15:16 796672 h:\windows\GPInstall.exe
+ 2010-06-11 12:27 . 2010-06-11 12:27 634880 h:\windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2010-06-11 12:27 . 2008-08-07 13:27 163328 h:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2010-06-11 12:27 . 2010-06-11 12:27 634880 h:\windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2010-06-11 12:27 . 2008-08-07 13:27 163328 h:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2010-03-29 17:49 . 2010-03-29 17:49 1549312 h:\windows\Installer\89f017.msi
+ 2010-04-29 11:14 . 2010-04-29 11:14 9472000 h:\windows\Installer\2ce4b4.msi
.
-- Instantané actualisé --
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="h:\windows\Updreg.exe" [2000-05-11 90112]
"SiSPower"="SiSPower.dll" [2005-07-13 49152]
"Jet Detection"="h:\program files\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 28672]
"CTHelper"="CTHELPER.EXE" [2009-06-23 19456]
"QuickTime Task"="h:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"AVG9_TRAY"="h:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-11 2065248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

h:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
AVG Free Tray Icon.lnk - h:\program files\AVG\AVG9\avgtray.exe [2010-6-11 2065248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-06-11 08:50 12464 ----a-w- h:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"h:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"h:\\Program Files\\HomePlayer\\HomePlayer.exe"=
"h:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=
"h:\\Program Files\\fontforge\\fontforge-mingw_2009_10_28\\bin\\Xming-6.9.0.31\\Xming.exe"=
"h:\\WINDOWS\\system32\\LEXPPS.EXE"=
"h:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"h:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"h:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"h:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=

R0 AVGIDSErHrxpx;AVG9IDSErHr;h:\windows\system32\drivers\AVGIDSxx.sys [11/06/2010 10:50 25096]
R0 AvgRkx86;avgrkx86.sys;h:\windows\system32\drivers\avgrkx86.sys [11/06/2010 10:50 52872]
R1 AvgLdx86;AVG AVI Loader Driver x86;h:\windows\system32\drivers\avgldx86.sys [11/06/2010 10:50 216200]
R1 AvgTdiX;AVG Network Redirector;h:\windows\system32\drivers\avgtdix.sys [11/06/2010 10:50 242896]
R2 avg9wd;AVG WatchDog;h:\program files\AVG\AVG9\avgwdsvc.exe [11/06/2010 10:50 308064]
R2 avgfws9;AVG Firewall;h:\program files\AVG\AVG9\avgfws9.exe [11/06/2010 10:57 2331544]
R2 RVIEGVST;VSC VST Engine;h:\program files\Roland\Virtual Sound Canvas VST\RVIEg01VST.sys [30/03/2010 10:29 188276]
R3 Avgfwdx;Avgfwdx;h:\windows\system32\drivers\avgfwdx.sys [11/06/2010 10:50 30104]
R3 COMMONFX.SYS;COMMONFX.SYS;h:\windows\system32\drivers\COMMONFX.sys [23/06/2009 14:34 99352]
R3 CTAUDFX.SYS;CTAUDFX.SYS;h:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 14:34 555032]
R3 CTSBLFX.SYS;CTSBLFX.SYS;h:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 14:34 566296]
S0 qttygo;qttygo; [x]
S0 slfqgea;slfqgea; [x]
S3 Avgfwfd;AVG network filter service;h:\windows\system32\drivers\avgfwdx.sys [11/06/2010 10:50 30104]
S3 AVGIDSAgent;AVG9IDSAgent;h:\program files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe [11/06/2010 10:50 5888008]
S3 AVGIDSDriverxpx;AVG9IDSDriver;h:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSDriver.sys [11/06/2010 10:50 122376]
S3 AVGIDSFilterxpx;AVG9IDSFilter;h:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSFilter.sys [11/06/2010 10:50 30216]
S3 AVGIDSShimxpx;AVG9IDSShim;h:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys [11/06/2010 10:50 26120]
S3 COMMONFX;COMMONFX;h:\windows\system32\drivers\COMMONFX.sys [23/06/2009 14:34 99352]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;h:\program files\Fichiers communs\Creative Labs Shared\Service\CTAELicensing.exe [21/11/2009 14:58 79360]
S3 CTAUDFX;CTAUDFX;h:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 14:34 555032]
S3 CTERFXFX.SYS;CTERFXFX.SYS;h:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 14:35 100888]
S3 CTERFXFX;CTERFXFX;h:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 14:35 100888]
S3 CTSBLFX;CTSBLFX;h:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 14:34 566296]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;h:\windows\system32\drivers\fbxusb32.sys [20/10/2004 15:23 21344]
S4 frxfh;frxfh; [x]
.
Contenu du dossier 'Tâches planifiées'

2010-06-08 h:\windows\Tasks\AppleSoftwareUpdate.job
- h:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.com/
IE: E&xporter vers Microsoft Excel - h:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - h:\documents and settings\latches\Application Data\Mozilla\Firefox\Profiles\5e01pqf3.default\
FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - component: h:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: h:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - h:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
h:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
h:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
h:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
h:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
h:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-17 09:44
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTHelper = CTHELPER.EXE?

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2336)
h:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-06-17 09:46:01
ComboFix-quarantined-files.txt 2010-06-17 07:45
ComboFix2.txt 2010-03-01 18:50
ComboFix3.txt 2010-03-01 18:30

Avant-CF: 61 612 294 144 octets libres
Après-CF: 61 651 976 192 octets libres

- - End Of File - - EE5108B107F850BEF8F36DE8A1AC3652
0
Réponse 14 / 29
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

documents and settings\latches\Local Settings\Application Data\prvlcl.dat
h:\windows\system32\dllcache\user32.dll
h:\documents and settings\All Users\Application Data\avg9\update\backup\avgmfx86.sys

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK
0
Réponse 15 / 29
swingin33 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
pour:
-documents and settings\latches\Local Settings\Application Data\prvlcl.dat
0 bytes size received / Se ha recibido un archivo vacio
j'ai regardé la taille de fichier est de 0 octet

-h:\windows\system32\dllcache\user32.dll
Le fichier a déjà été analysé:
MD5: e853f84d3ce2faa2a802e33cf89ac023
First received: 2008.12.25 20:37:35 UTC
Date 2010.06.04 21:45:03 UTC [>12D]
Résultats 1/40
Permalink: analisis/f06da9ccea0f1fb5e9b1bf66b589f97b3b3e2cb557a58ba672c7b2a4ec9cb10e-1275687903

-h:\documents and settings\All Users\Application Data\avg9\update\backup\avgmfx86.sys
Le fichier a déjà été analysé:
MD5: f9caeec3ff1545991f490264429724c5
First received: 2010.03.01 17:05:36 UTC
Date 2010.05.27 16:22:20 UTC [>20D]
Résultats 0/41
Permalink: analisis/2ac3dcdb88fcfe01f8937b1beafe28f247d3a99dd7d8798a3814859a2b5369bc-1274977340
0
Réponse 16 / 29
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
0
Réponse 17 / 29
swingin33 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
il n'a rien trouvé et donne un rapport vierge!
je l'ai relancé en administrateur mode sans echec et idem.
0
Réponse 18 / 29
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour swingin33, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le


KillAll::


Driver::

frxfh

File::

h:\documents and settings\latches\Local Settings\Application Data\prvlcl.dat
h:\windows\system32\dllcache\user32.dll


* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
0
Réponse 19 / 29
swingin33 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
ComboFix 10-06-16.02 - latches 17/06/2010 13:09:00.4.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.703.354 [GMT 2:00]
Lancé depuis: c:\video\Downloads\ComboFix.exe
Commutateurs utilisés :: h:\documents and settings\latches\Bureau\CFScript.txt
AV: AVG Internet Security *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *disabled* {8decf618-9569-4340-b34a-d78d28969b66}

FILE ::
"h:\documents and settings\latches\Local Settings\Application Data\prvlcl.dat"
"h:\windows\system32\dllcache\user32.dll"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

h:\documents and settings\latches\Local Settings\Application Data\prvlcl.dat
h:\windows\system32\dllcache\user32.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FRXFH
-------\Service_frxfh


((((((((((((((((((((((((((((( Fichiers créés du 2010-05-17 au 2010-06-17 ))))))))))))))))))))))))))))))))))))
.

2010-06-17 10:10 . 2010-06-17 10:14 -------- d-----w- H:\tdsskiller
2010-06-16 16:33 . 2010-06-16 16:33 -------- d-----w- h:\documents and settings\latches\Application Data\Malwarebytes
2010-06-16 16:33 . 2010-04-29 13:39 38224 ----a-w- h:\windows\system32\drivers\mbamswissarmy.sys
2010-06-16 16:33 . 2010-06-16 16:33 -------- d-----w- h:\program files\Malwarebytes' Anti-Malware
2010-06-16 16:33 . 2010-06-16 16:33 -------- d-----w- h:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-16 16:33 . 2010-04-29 13:39 20952 ----a-w- h:\windows\system32\drivers\mbam.sys
2010-06-16 09:50 . 2010-06-16 09:52 -------- d-----w- h:\program files\ZHPDiag
2010-06-13 17:02 . 2010-06-13 17:02 -------- d-----w- h:\documents and settings\latches\Application Data\AVG9
2010-06-11 12:52 . 2010-06-11 12:52 -------- d-----w- h:\program files\navilog1
2010-06-11 12:49 . 2010-06-11 12:52 -------- d---a-w- H:\Navilog1
2010-06-11 12:26 . 2010-06-11 12:27 -------- d-----w- h:\windows\ERUNT
2010-06-11 12:25 . 2010-06-11 12:36 -------- d-----w- H:\SDFix
2010-06-11 08:58 . 2010-06-11 08:58 29512 ----a-w- h:\documents and settings\All Users\Application Data\avg9\update\backup\avgmfx86.sys
2010-06-11 08:58 . 2010-06-11 08:58 242896 ----a-w- h:\documents and settings\All Users\Application Data\avg9\update\backup\avgtdix.sys
2010-06-11 08:50 . 2010-06-17 09:17 -------- d-----w- h:\windows\system32\drivers\Avg
2010-06-11 08:50 . 2010-06-11 08:50 12464 ----a-w- h:\windows\system32\avgrsstx.dll
2010-06-11 08:50 . 2010-06-11 08:50 25096 ----a-w- h:\windows\system32\drivers\AVGIDSxx.sys
2010-06-11 08:50 . 2010-06-11 08:58 242896 ----a-w- h:\windows\system32\drivers\avgtdix.sys
2010-06-11 08:50 . 2010-06-11 08:50 52872 ----a-w- h:\windows\system32\drivers\avgrkx86.sys
2010-06-11 08:50 . 2010-06-11 08:50 216200 ----a-w- h:\windows\system32\drivers\avgldx86.sys
2010-06-11 08:50 . 2010-06-11 08:58 29584 ----a-w- h:\windows\system32\drivers\avgmfx86.sys
2010-06-11 08:50 . 2010-06-11 08:50 50968 ----a-w- h:\windows\system32\avgfwdx.dll
2010-06-11 08:50 . 2010-06-11 08:50 30104 ----a-w- h:\windows\system32\drivers\avgfwdx.sys
2010-06-11 08:50 . 2010-06-11 08:50 -------- d-----w- h:\documents and settings\All Users\Application Data\avg9
2010-05-28 19:22 . 2010-05-28 19:22 -------- d-----w- h:\documents and settings\latches\Local Settings\Application Data\WMTools Downloaded Files
2010-05-28 18:03 . 2008-04-13 17:39 5504 -c--a-w- h:\windows\system32\dllcache\mstee.sys
2010-05-28 18:03 . 2008-04-13 17:39 5504 ----a-w- h:\windows\system32\drivers\MSTEE.sys
2010-05-28 16:09 . 2010-05-28 16:09 3310 ----a-r- h:\documents and settings\latches\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_16496df1.exe
2010-05-28 16:09 . 2010-05-28 16:09 1078 ----a-r- h:\documents and settings\latches\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_69525f90.exe
2010-05-28 16:09 . 2010-05-28 16:09 1078 ----a-r- h:\documents and settings\latches\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_4ae13d6c.exe
2010-05-28 16:09 . 2010-05-28 16:09 1078 ----a-r- h:\documents and settings\latches\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_2cd672ae.exe
2010-05-28 16:09 . 2010-05-28 16:09 1078 ----a-r- h:\documents and settings\latches\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_294823.exe
2010-05-28 16:09 . 2010-05-28 16:09 1078 ----a-r- h:\documents and settings\latches\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_18be6784.exe
2010-05-28 16:09 . 2010-05-28 16:09 -------- d-----w- h:\program files\Power Tab Software

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-16 15:57 . 2009-11-19 14:06 -------- d-----w- h:\documents and settings\latches\Application Data\vlc
2010-06-11 14:21 . 2009-11-27 17:17 -------- d-----w- h:\program files\Lexmark X1100 Series
2010-06-02 08:14 . 2009-11-20 10:30 -------- d-----w- h:\documents and settings\latches\Application Data\dvdcss
2010-05-29 13:00 . 2009-11-11 17:31 74608 ----a-w- h:\documents and settings\latches\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-21 12:30 . 2010-02-28 17:34 -------- d-----w- h:\documents and settings\All Users\Application Data\Lavasoft
2010-05-07 13:27 . 2010-05-06 13:40 -------- d-----w- h:\program files\MuseScore 0.9
2010-04-29 11:14 . 2010-04-26 09:52 -------- d-----w- h:\program files\QuickTime
2010-04-29 11:14 . 2010-04-29 11:14 -------- d-----w- h:\documents and settings\All Users\Application Data\Apple Computer
2010-04-26 09:52 . 2010-02-28 17:37 -------- d-----w- h:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-26 09:52 . 2010-04-13 14:06 -------- d-----w- h:\program files\QuickTime(2)
2010-04-01 15:37 . 2010-04-01 15:37 253952 ------w- h:\windows\Setup1.exe
2010-04-01 15:37 . 2010-04-01 15:37 74752 ----a-w- h:\windows\ST6UNST.EXE
2010-04-01 15:23 . 2010-04-01 15:23 171520 ----a-w- h:\windows\system32\cncs32.dll
2010-03-28 14:35 . 2004-08-05 12:00 85404 ----a-w- h:\windows\system32\perfc00C.dat
2010-03-28 14:35 . 2004-08-05 12:00 513080 ----a-w- h:\windows\system32\perfh00C.dat
.

((((((((((((((((((((((((((((( SnapShot_2010-06-17_07.44.02 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-17 11:14 . 2010-06-17 11:14 40960 h:\windows\temp\rtdrvmon.exe
+ 2010-06-17 11:14 . 2010-06-17 11:14 16384 h:\windows\temp\Perflib_Perfdata_210.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="h:\windows\Updreg.exe" [2000-05-11 90112]
"SiSPower"="SiSPower.dll" [2005-07-13 49152]
"Jet Detection"="h:\program files\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 28672]
"CTHelper"="CTHELPER.EXE" [2009-06-23 19456]
"QuickTime Task"="h:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"AVG9_TRAY"="h:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-11 2065248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

h:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
AVG Free Tray Icon.lnk - h:\program files\AVG\AVG9\avgtray.exe [2010-6-11 2065248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-06-11 08:50 12464 ----a-w- h:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"h:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"h:\\Program Files\\HomePlayer\\HomePlayer.exe"=
"h:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=
"h:\\Program Files\\fontforge\\fontforge-mingw_2009_10_28\\bin\\Xming-6.9.0.31\\Xming.exe"=
"h:\\WINDOWS\\system32\\LEXPPS.EXE"=
"h:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"h:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"h:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"h:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=

R0 AVGIDSErHrxpx;AVG9IDSErHr;h:\windows\system32\drivers\AVGIDSxx.sys [11/06/2010 10:50 25096]
R0 AvgRkx86;avgrkx86.sys;h:\windows\system32\drivers\avgrkx86.sys [11/06/2010 10:50 52872]
R1 AvgLdx86;AVG AVI Loader Driver x86;h:\windows\system32\drivers\avgldx86.sys [11/06/2010 10:50 216200]
R1 AvgTdiX;AVG Network Redirector;h:\windows\system32\drivers\avgtdix.sys [11/06/2010 10:50 242896]
R2 avg9wd;AVG WatchDog;h:\program files\AVG\AVG9\avgwdsvc.exe [11/06/2010 10:50 308064]
R2 avgfws9;AVG Firewall;h:\program files\AVG\AVG9\avgfws9.exe [11/06/2010 10:57 2331544]
R2 RVIEGVST;VSC VST Engine;h:\program files\Roland\Virtual Sound Canvas VST\RVIEg01VST.sys [30/03/2010 10:29 188276]
R3 Avgfwdx;Avgfwdx;h:\windows\system32\drivers\avgfwdx.sys [11/06/2010 10:50 30104]
R3 COMMONFX.SYS;COMMONFX.SYS;h:\windows\system32\drivers\COMMONFX.sys [23/06/2009 14:34 99352]
R3 CTAUDFX.SYS;CTAUDFX.SYS;h:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 14:34 555032]
R3 CTSBLFX.SYS;CTSBLFX.SYS;h:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 14:34 566296]
S0 qttygo;qttygo; [x]
S0 slfqgea;slfqgea; [x]
S3 Avgfwfd;AVG network filter service;h:\windows\system32\drivers\avgfwdx.sys [11/06/2010 10:50 30104]
S3 AVGIDSAgent;AVG9IDSAgent;h:\program files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe [11/06/2010 10:50 5888008]
S3 AVGIDSDriverxpx;AVG9IDSDriver;h:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSDriver.sys [11/06/2010 10:50 122376]
S3 AVGIDSFilterxpx;AVG9IDSFilter;h:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSFilter.sys [11/06/2010 10:50 30216]
S3 AVGIDSShimxpx;AVG9IDSShim;h:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys [11/06/2010 10:50 26120]
S3 COMMONFX;COMMONFX;h:\windows\system32\drivers\COMMONFX.sys [23/06/2009 14:34 99352]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;h:\program files\Fichiers communs\Creative Labs Shared\Service\CTAELicensing.exe [21/11/2009 14:58 79360]
S3 CTAUDFX;CTAUDFX;h:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 14:34 555032]
S3 CTERFXFX.SYS;CTERFXFX.SYS;h:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 14:35 100888]
S3 CTERFXFX;CTERFXFX;h:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 14:35 100888]
S3 CTSBLFX;CTSBLFX;h:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 14:34 566296]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;h:\windows\system32\drivers\fbxusb32.sys [20/10/2004 15:23 21344]
.
Contenu du dossier 'Tâches planifiées'

2010-06-08 h:\windows\Tasks\AppleSoftwareUpdate.job
- h:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.com/
IE: E&xporter vers Microsoft Excel - h:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - h:\documents and settings\latches\Application Data\Mozilla\Firefox\Profiles\5e01pqf3.default\
FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - component: h:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: h:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - h:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
h:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
h:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
h:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
h:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
h:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-17 13:15
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTHelper = CTHELPER.EXE?

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3524)
h:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
h:\program files\AVG\AVG9\avgchsvx.exe
h:\program files\AVG\AVG9\avgrsx.exe
h:\program files\AVG\AVG9\avgcsrvx.exe
h:\windows\system32\LEXBCES.EXE
h:\windows\system32\LEXPPS.EXE
h:\program files\Creative\Shared Files\CTAudSvc.exe
h:\windows\system32\CTsvcCDA.EXE
h:\windows\system32\tcpsvcs.exe
h:\windows\System32\snmp.exe
h:\windows\system32\MsPMSPSv.exe
h:\program files\AVG\AVG9\avgam.exe
h:\program files\AVG\AVG9\avgnsx.exe
h:\windows\system32\wscntfy.exe
h:\program files\AVG\AVG9\Identity Protection\agent\bin\avgidsmonitor.exe
.
**************************************************************************
.
Heure de fin: 2010-06-17 13:17:31 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-17 11:17
ComboFix2.txt 2010-06-17 07:46
ComboFix3.txt 2010-03-01 18:50
ComboFix4.txt 2010-03-01 18:30

Avant-CF: 61 662 863 360 octets libres
Après-CF: 61 554 630 656 octets libres

- - End Of File - - C1ABE3AED80F562B7EF407EE0623A3E4
0
Réponse 20 / 29
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
ok

fais un nouveau scan GMER stp et poste le rapport
0

Discussions similaires

'' generic android ''
Flxra._.Atxmics -
Flxra._.Atxmics -

2 réponses
J'ai supprimé un fichier IDP.generic
Fumiiko -
Malekal_morte- -

12 réponses
AVAST me dit que setup.exe est infecté par IDP.Generic
cloclo777 -
cloclo777 -

9 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
Risque de contamination d'android
Tuzore -
bakhcha -

86 réponses