Virus

mati62 -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

Je me permet de vous contacter car mon pc portable a quelques soucis en ce moment. Je suis infecte par un ou plusieurs virus qui rendent mon ordi inutilisable 9certains programme sont bloques notemment mon antivirus et zonealarm. J'aimerai avec votre aide faire un peu le menage.
je vous poste le rapport hijackthis que je viens e faire en mode sans echec en esperant que l'on puisse m'aider.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:47:07, on 20/04/2005
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_17\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: flvdome - {b30ed45f-a0f8-1afb-0d87-d6a72424bd61} - C:\WINDOWS\system32\i_O6G3-H-w.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_17\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Jsijevadaza] rundll32.exe "C:\WINDOWS\abajabivebaxiti.dll",Startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [pfukqwye] C:\Documents and Settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Vtefininozuma] rundll32.exe "C:\WINDOWS\WMP471.dll",Startup
O4 - HKCU\..\Run: [pfukqwye] C:\Documents and Settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_17\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_17\bin\ssv.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: InterCasino France - {30C66393-FEF3-4758-BA00-803E3ABC88A2} - http://france.intercasino.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: InterCasino France - {30C66393-FEF3-4758-BA00-803E3ABC88A2} - http://france.intercasino.com/ (file missing) (HKCU)
O16 - DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} (SysInfo Class) - http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_1_0.cab
O16 - DPF: {93344865-74BD-4873-BE65-56539D41A65C} - https://www.e2l-net.com/plugin/Earn2Life.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

--
End of file - 8652 bytes

27 réponses

  • 1
  • 2
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt
    lance un rapport de suppression avec ad remover et colle nous le rapport

    puis dis nous si l'antivirus et zone alarm remarchent
    0
  2. mati62
     
    ===== RAPPORT D'AD-REMOVER 1.1.4.5_S | UNIQUEMENT XP/VISTA/7 =======
    .
    Mit à jour par C_XX le 02/09/2009 à 3:00 PM
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 23:43:19, 20/04/2005 | Mode sans echec | Option: SCAN
    Exécuté de: C:\Program Files\Ad-remover\
    Système d'exploitation: Microsoft® Windows XP(TM) v5.1.2600
    Nom du PC: G-1CF5BB80BF604 | Utilisateur actuel: G'ricom
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .
    .
    HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKCR\EoRezoBHO.EoBho
    HKCR\EoRezoBHO.EoBho.1
    HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
    HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
    HKCU\Software\AppDataLow\HavingFunOnline
    HKCU\Software\EoRezo
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKCU\Software\Poker 770
    HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\Software\Classes\EoRezoBHO.EoBho
    HKLM\Software\Classes\EoRezoBHO.EoBho.1
    HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
    HKLM\Software\Classes\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Poker 770
    HKLM\Software\Poker 770
    HKLM\Software\Trymedia Systems
    HKU\S-1-5-21-1708537768-515967899-839522115-1004\Software\Eorezo
    .
    C:\DOCUME~1\GRICOM~1\APPLIC~1\EoRezo
    C:\Poker\Poker 770
    C:\Documents and Settings\G'ricom\Application Data\Eorezo
    C:\DOCUME~1\ALLUSE~1\Bureau\Poker 770.lnk
    .
    ============== Scan additionnel ==============
    .
    .
    .
    .
    * Internet Explorer Version 8.0.6001.18702 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Start Page: hxxp://www.google.fr/
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ============== Suspect (Cracks, Serials ... ) ==============
    .
    C:\Documents and Settings\G'ricom\Mes documents\Playstation\PS3 PES\purde_patch.rar
    .
    .
    ===================================
    .
    2563 Octet(s) - C:\Ad-Report-SCAN.log
    .
    17 Fichier(s) - C:\DOCUME~1\GRICOM~1\LOCALS~1\Temp
    387 Fichier(s) - C:\WINDOWS\Temp
    .
    0 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
    0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
    .
    Fin à: 23:51:42 | 20/04/2005
    .
    ============== E.O.F ==============
    .
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    j'avais mis un rapport de suppression et non de recherche

    puis

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
  4. mati62
     
    voici le rapport ad remover, je m'occupe de combo fix mtn

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 23/06/10 à 19:20
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:50:47 le 21/04/2005, Mode sans echec

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    Géricom@G-1CF5BB80BF604 ( )

    ============== ACTION(S) ==============

    3,Fichier supprimé: C:\WINDOWS\system32\kDvMUxKGSQ-_.exe
    0,Dossier supprimé: C:\Casino\21Nova Casino
    0,Dossier supprimé: C:\Poker\Poker 770
    0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\21Nova Casino
    0,Dossier supprimé: C:\Documents and Settings\Géricom\Application Data\EoRezo
    0,Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Trymedia
    0,Dossier supprimé: C:\Program Files\Trymedia
    0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer
    0,Fichier supprimé: C:\Documents and Settings\All Users\Bureau\21Nova Casino.lnk
    0,Fichier supprimé: C:\Documents and Settings\All Users\Bureau\Poker 770.lnk

    (!) -- Fichiers temporaires supprimés.

    1,Clé supprimée: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
    3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\kDvMUxKGSQ-_
    0,Clé supprimée: HKLM\Software\32 Vegas Casino
    0,Clé supprimée: HKCU\Software\32 Vegas Casino
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\32 Vegas Casino
    0,Clé supprimée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A
    0,Clé supprimée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7EE743314C844C7F445B8B1D7617612DF1FDD50F

    ============== SCAN ADDITIONNEL ==============

    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 10646 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 21/04/2005 (2979 Octet(s))

    Fin à: 00:58:55, 21/04/2005

    ============== E.O.F ==============
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok
    0
  7. mati62
     
    et enfin le rapport combo fix

    ComboFix 10-07-15.03 - Géricom 16/07/2010 12:21:03.3.1 - x86 MINIMAL
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1007.802 [GMT 2:00]
    Lancé depuis: D:\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Géricom\Local Settings\Application Data\{6F5A1AB7-5BB4-4B8E-AE31-FC48250D7946}
    c:\documents and settings\Géricom\Local Settings\Application Data\{6F5A1AB7-5BB4-4B8E-AE31-FC48250D7946}\chrome.manifest
    c:\documents and settings\Géricom\Local Settings\Application Data\{6F5A1AB7-5BB4-4B8E-AE31-FC48250D7946}\chrome\content\_cfg.js
    c:\documents and settings\Géricom\Local Settings\Application Data\{6F5A1AB7-5BB4-4B8E-AE31-FC48250D7946}\chrome\content\overlay.xul
    c:\documents and settings\Géricom\Local Settings\Application Data\{6F5A1AB7-5BB4-4B8E-AE31-FC48250D7946}\install.rdf
    c:\windows\abajabivebaxiti.dll
    c:\windows\system32\ESQULzxspectrum
    c:\windows\WMP471.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-06-16 au 2010-07-16 ))))))))))))))))))))))))))))))))))))
    .

    2010-07-14 03:20 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
    2010-07-04 05:32 . 2010-07-04 05:32 300616 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
    2010-07-04 05:32 . 2010-07-04 05:32 329312 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
    2010-07-04 05:30 . 2010-07-04 05:30 -------- d-----w- c:\program files\Fichiers communs\xing shared
    2010-06-17 14:13 . 2010-06-17 14:13 -------- d-----w- c:\program files\PKR

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-07-16 10:31 . 2005-04-20 06:32 768000 ----a-w- c:\windows\system32\drivers\ehrxibgc.sys
    2010-07-14 04:57 . 2007-06-19 12:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-07-04 05:32 . 2007-10-04 14:28 -------- d-----w- c:\program files\Fichiers communs\Real
    2010-07-04 05:31 . 2007-10-04 14:28 -------- d-----w- c:\program files\Real
    2010-07-04 05:29 . 2007-06-14 17:16 499712 ----a-w- c:\windows\system32\msvcp71.dll
    2010-07-04 05:29 . 2007-06-14 17:16 348160 ----a-w- c:\windows\system32\msvcr71.dll
    2010-06-24 02:59 . 2004-08-05 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-24 02:59 . 2004-08-05 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-14 14:31 . 2007-06-06 10:28 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
    2010-06-02 13:15 . 2010-06-02 13:14 -------- d-----w- c:\program files\SecondLifeViewer2
    2010-06-02 04:22 . 2007-11-20 14:18 23259371 ----a-w- c:\windows\Internet Logs\tvDebug.zip
    2010-05-27 16:13 . 2009-05-14 09:34 -------- d-----w- c:\program files\BetClic Poker
    2010-05-27 14:04 . 2010-05-27 14:04 -------- d-----w- c:\program files\LittleFighter2
    2010-05-21 02:26 . 2010-03-06 13:11 -------- d-----w- c:\program files\Google
    2010-05-16 05:41 . 2010-05-16 05:44 1557504 ----a-w- c:\windows\Internet Logs\xDB66.tmp
    2010-05-16 05:41 . 2010-05-16 05:44 25088 ----a-w- c:\windows\Internet Logs\xDB65.tmp
    2010-05-11 07:40 . 2010-05-11 07:43 1554432 ----a-w- c:\windows\Internet Logs\xDB64.tmp
    2010-05-11 07:40 . 2010-05-11 07:43 872960 ----a-w- c:\windows\Internet Logs\xDB63.tmp
    2010-05-06 10:33 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-05-02 08:08 . 2004-08-05 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
    2010-04-20 05:30 . 2004-08-05 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
    2008-11-18 12:21 . 2008-11-18 12:21 1287872 ----a-w- c:\program files\WoW-2.3.0.7561-frFR-downloader.exe
    2010-02-16 11:22 . 2008-08-11 20:45 100995104 --sha-w- c:\windows\system32\drivers\fidbox.dat
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b30ed45f-a0f8-1afb-0d87-d6a72424bd61}]
    2010-03-30 20:41 1122304 ----a-w- c:\windows\system32\i_O6G3-H-w.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
    "pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
    "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
    "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_17\bin\jusched.exe" [2008-11-10 75264]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-07-04 202256]
    "pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Conference\\Conference.dll"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [06/06/2007 14:09 191092]
    R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [06/06/2007 14:09 6100]
    S0 FVDSCSI;FVDSCSI;c:\windows\system32\DRIVERS\fvdscsi.sys --> c:\windows\system32\DRIVERS\fvdscsi.sys [?]
    S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/07/2009 18:17 721904]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/08/2009 17:17 108289]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/03/2010 15:11 135664]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]
    S3 mdxgthkn;mdxgthkn;\??\c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys --> c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys [?]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - PXHELP20
    *Deregistered* - ehrxibgc
    .
    Contenu du dossier 'Tâches planifiées'

    2005-04-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

    2010-07-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

    2005-04-20 c:\windows\Tasks\User_Feed_Synchronization-{4E1502AE-2B16-4283-ADA8-3B19C5BADB21}.job
    - c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = <local>
    uInternet Settings,ProxyServer = http=127.0.0.1:5643
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    Trusted Zone: tradedoubler.com\www
    DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
    DPF: {93344865-74BD-4873-BE65-56539D41A65C} - hxxp://www.earn2life.com/plugin/Earn2Life.cab
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-Vtefininozuma - c:\windows\WMP471.dll
    HKLM-Run-Jsijevadaza - c:\windows\abajabivebaxiti.dll
    AddRemove-Windows Casino - c:\casino\Windows Casino\_SetupCasino[1].exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-07-16 12:30
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ehrxibgc]

    .
    Heure de fin: 2010-07-16 12:34:27
    ComboFix-quarantined-files.txt 2010-07-16 10:34

    Avant-CF: 30 267 584 512 octets libres
    Après-CF: 30 293 897 216 octets libres

    - - End Of File - - D0CBCCDFB9E0771E4162180369D37183
    0
    1. mati62
       
      je peux acceder a mon antivcirus mtn, y a t il d'autre manipulation a effectuer ?
      0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok il en reste

    analyse sur virus total le fichier en gras suivant :https://www.virustotal.com/gui/

    c:\windows\system32\drivers\ehrxibgc.sys

    _________

    puis
    Télécharger OAD (Outil d'Aide au Diagnostic) < http://sosvirus.changelog.fr/OAD.exe >
    ? Enregistre-le sur ton bureau
    ? Lancer 'OAD.exe' en faisant un double clique sur le fichier
    ? Saisir la valeur recherchée -> ' kgvvayptssd ' ( fait un copier/coller )
    ? Type de recherche : sélectionner l'option 6 puis valide [entrée]
    ? OAD va maintenant rechercher le fichier.
    ? Laisse-le travailler jusqu'à ce qu'il en ait terminé.
    ? Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.

    ------------- Patienter. --------------

    ? Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
    ? Faire un copier/coller de ce rapport dans ton prochain post.

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note: Certains Antivirus peuvent émettre une alerte lors du téléchargement / utilisation > ignore
    0
    1. mati62
       
      en analysant le fichier virustotal me dit 0 bytes size received
      0
  9. mati62
     
    le rapport donne

    16/07/2010 ---- 15:17:26,37

    ----------------------------------
    §§§§§§ [kgvvayptssd] §§§§§§
    ----------------------------------
    [X] Registre
    [ ] Fichier (rapide)
    [ ] Fichier (disque systeme)
    [X] Fichier (complete)

    ********************
    [Registre]
    ********************

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "pfukqwye"="C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe"

    [HKEY_USERS\S-1-5-21-1708537768-515967899-839522115-1004\Software\Microsoft\Windows\CurrentVersion\run]
    "pfukqwye"="C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe"

    [HKEY_USERS\S-1-5-21-1708537768-515967899-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
    "C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe"="kgvvayptssd"

    *******************
    [Fichier]
    *******************

    c:\Documents and Settings\G'ricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe
    c:\WINDOWS\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf

    *********************
    [Même date]
    *********************

    C:\Ad-Report-SCAN.log
    C:\WINDOWS\asedoqevoyoxaj.dll
    C:\WINDOWS\enusaqom.dll
    C:\WINDOWS\inf
    C:\WINDOWS\oqajuzes.dll
    C:\WINDOWS\Ppegolinino.dat
    C:\WINDOWS\system32\dllcache

    ----------------------------------
    §§§§§ Fin Rapport §§§§§
    ----------------------------------
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    analyse ces 3 fichiers sur virus total et colle nous les rapports

    C:\WINDOWS\enusaqom.dll
    C:\WINDOWS\oqajuzes.dll
    C:\WINDOWS\Ppegolinino.dat

    (et dis comme tu as fait si il fait O bits)
    0
  11. mati62
     
    jai fait exactement la mm manipulation que pour ces trois fichier, mais il ne me donne rien
    Voici le rapport des 3 fichiers

    Fichier enusaqom.dll reçu le 2010.07.16 13:38:26 (UTC)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

    Résultat: 6/41 (14.64%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: ___.
    L'heure estimée de démarrage est entre ___ et ___ .
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:

    Antivirus Version Dernière mise à jour Résultat
    a-squared 5.0.0.31 2010.07.16 -
    AhnLab-V3 2010.07.16.00 2010.07.15 -
    AntiVir 8.2.4.12 2010.07.16 -
    Antiy-AVL 2.0.3.7 2010.07.15 -
    Authentium 5.2.0.5 2010.07.16 -
    Avast 4.8.1351.0 2010.07.16 -
    Avast5 5.0.332.0 2010.07.16 -
    AVG 9.0.0.836 2010.07.16 -
    BitDefender 7.2 2010.07.16 Trojan.FakeAV.KZQ
    CAT-QuickHeal 11.00 2010.07.16 -
    ClamAV 0.96.0.3-git 2010.07.16 -
    Comodo 5447 2010.07.16 -
    DrWeb 5.0.2.03300 2010.07.16 -
    eSafe 7.0.17.0 2010.07.15 -
    eTrust-Vet 36.1.7714 2010.07.16 HTML/FakeAlert.BHB
    F-Prot 4.6.1.107 2010.07.15 -
    F-Secure 9.0.15370.0 2010.07.16 Trojan.FakeAV.KZQ
    Fortinet 4.1.143.0 2010.07.16 -
    GData 21 2010.07.16 Trojan.FakeAV.KZQ
    Ikarus T3.1.1.84.0 2010.07.16 -
    Jiangmin 13.0.900 2010.07.16 -
    Kaspersky 7.0.0.125 2010.07.16 -
    McAfee 5.400.0.1158 2010.07.16 -
    McAfee-GW-Edition 2010.1 2010.07.16 -
    Microsoft 1.6004 2010.07.16 -
    NOD32 5283 2010.07.16 -
    Norman 6.05.11 2010.07.16 -
    nProtect 2010-07-16.01 2010.07.16 Trojan.FakeAV.KZQ
    Panda 10.0.2.7 2010.07.15 -
    PCTools 7.0.3.5 2010.07.16 -
    Prevx 3.0 2010.07.16 -
    Rising 22.56.04.04 2010.07.16 -
    Sophos 4.55.0 2010.07.16 Mal/FakeAvHm-A
    Sunbelt 6591 2010.07.16 -
    Symantec 20101.1.1.7 2010.07.16 -
    TheHacker 6.5.2.1.316 2010.07.16 -
    TrendMicro 9.120.0.1004 2010.07.16 -
    TrendMicro-HouseCall 9.120.0.1004 2010.07.16 -
    VBA32 3.12.12.6 2010.07.16 -
    ViRobot 2010.7.12.3932 2010.07.16 -
    VirusBuster 5.0.27.0 2010.07.16 -
    Information additionnelle
    File size: 2811 bytes
    MD5...: f70585a45303cd2b2acfdaf6c755ebb5
    SHA1..: 00996bc9393f100110ef2cafaf4cd3fba11a3cda
    SHA256: a75256a2c1de254e6f8213b6d07286320980507b507bc605eacc074b6ef719fa
    ssdeep: 48:yGMHyjuA1fmPGl/PFxHOHqz5fCcwkTvUHBvIrc:LMHIuGJu6axXN

    PEiD..: -
    PEInfo: -
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: HyperText Markup Language with DOCTYPE (80.6%)
    HyperText Markup Language (19.3%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    Fichier oqajuzes.dll reçu le 2010.07.16 13:45:13 (UTC)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

    Résultat: 7/42 (16.67%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 1.
    L'heure estimée de démarrage est entre 46 et 66 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:

    Antivirus Version Dernière mise à jour Résultat
    a-squared 5.0.0.31 2010.07.16 -
    AhnLab-V3 2010.07.16.00 2010.07.15 -
    AntiVir 8.2.4.12 2010.07.16 -
    Antiy-AVL 2.0.3.7 2010.07.15 -
    Authentium 5.2.0.5 2010.07.16 -
    Avast 4.8.1351.0 2010.07.16 -
    Avast5 5.0.332.0 2010.07.16 -
    AVG 9.0.0.836 2010.07.16 -
    BitDefender 7.2 2010.07.16 Trojan.FakeAV.KZQ
    CAT-QuickHeal 11.00 2010.07.16 -
    ClamAV 0.96.0.3-git 2010.07.16 -
    Comodo 5447 2010.07.16 -
    DrWeb 5.0.2.03300 2010.07.16 -
    eSafe 7.0.17.0 2010.07.15 -
    eTrust-Vet 36.1.7714 2010.07.16 HTML/FakeAlert.BHB
    F-Prot 4.6.1.107 2010.07.15 -
    F-Secure 9.0.15370.0 2010.07.16 Trojan.FakeAV.KZQ
    Fortinet 4.1.143.0 2010.07.16 -
    GData 21 2010.07.16 Trojan.FakeAV.KZQ
    Ikarus T3.1.1.84.0 2010.07.16 -
    Jiangmin 13.0.900 2010.07.16 -
    Kaspersky 7.0.0.125 2010.07.16 -
    McAfee 5.400.0.1158 2010.07.16 -
    McAfee-GW-Edition 2010.1 2010.07.16 -
    Microsoft 1.6004 2010.07.16 -
    NOD32 5283 2010.07.16 -
    Norman 6.05.11 2010.07.16 -
    nProtect 2010-07-16.01 2010.07.16 Trojan.FakeAV.KZQ
    Panda 10.0.2.7 2010.07.15 -
    PCTools 7.0.3.5 2010.07.16 -
    Prevx 3.0 2010.07.16 -
    Rising 22.56.04.04 2010.07.16 -
    Sophos 4.55.0 2010.07.16 Mal/FakeAvHm-A
    Sunbelt 6591 2010.07.16 -
    SUPERAntiSpyware 4.40.0.1006 2010.07.16 Rogue.Agent/Gen-Nullo[DLL]
    Symantec 20101.1.1.7 2010.07.16 -
    TheHacker 6.5.2.1.316 2010.07.16 -
    TrendMicro 9.120.0.1004 2010.07.16 -
    TrendMicro-HouseCall 9.120.0.1004 2010.07.16 -
    VBA32 3.12.12.6 2010.07.16 -
    ViRobot 2010.7.12.3932 2010.07.16 -
    VirusBuster 5.0.27.0 2010.07.16 -
    Information additionnelle
    File size: 2811 bytes
    MD5...: f70585a45303cd2b2acfdaf6c755ebb5
    SHA1..: 00996bc9393f100110ef2cafaf4cd3fba11a3cda
    SHA256: a75256a2c1de254e6f8213b6d07286320980507b507bc605eacc074b6ef719fa
    ssdeep: 48:yGMHyjuA1fmPGl/PFxHOHqz5fCcwkTvUHBvIrc:LMHIuGJu6axXN

    PEiD..: -
    PEInfo: -
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: HyperText Markup Language with DOCTYPE (80.6%)
    HyperText Markup Language (19.3%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -

    Fichier Ppegolinino.dat reçu le 2010.07.16 13:51:26 (UTC)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

    Résultat: 0/42 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 1.
    L'heure estimée de démarrage est entre 46 et 66 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:

    Antivirus Version Dernière mise à jour Résultat
    a-squared 5.0.0.31 2010.07.16 -
    AhnLab-V3 2010.07.16.00 2010.07.15 -
    AntiVir 8.2.4.12 2010.07.16 -
    Antiy-AVL 2.0.3.7 2010.07.15 -
    Authentium 5.2.0.5 2010.07.16 -
    Avast 4.8.1351.0 2010.07.16 -
    Avast5 5.0.332.0 2010.07.16 -
    AVG 9.0.0.836 2010.07.16 -
    BitDefender 7.2 2010.07.16 -
    CAT-QuickHeal 11.00 2010.07.16 -
    ClamAV 0.96.0.3-git 2010.07.16 -
    Comodo 5447 2010.07.16 -
    DrWeb 5.0.2.03300 2010.07.16 -
    eSafe 7.0.17.0 2010.07.15 -
    eTrust-Vet 36.1.7714 2010.07.16 -
    F-Prot 4.6.1.107 2010.07.15 -
    F-Secure 9.0.15370.0 2010.07.16 -
    Fortinet 4.1.143.0 2010.07.16 -
    GData 21 2010.07.16 -
    Ikarus T3.1.1.84.0 2010.07.16 -
    Jiangmin 13.0.900 2010.07.16 -
    Kaspersky 7.0.0.125 2010.07.16 -
    McAfee 5.400.0.1158 2010.07.16 -
    McAfee-GW-Edition 2010.1 2010.07.16 -
    Microsoft 1.6004 2010.07.16 -
    NOD32 5283 2010.07.16 -
    Norman 6.05.11 2010.07.16 -
    nProtect 2010-07-16.01 2010.07.16 -
    Panda 10.0.2.7 2010.07.15 -
    PCTools 7.0.3.5 2010.07.16 -
    Prevx 3.0 2010.07.16 -
    Rising 22.56.04.04 2010.07.16 -
    Sophos 4.55.0 2010.07.16 -
    Sunbelt 6591 2010.07.16 -
    SUPERAntiSpyware 4.40.0.1006 2010.07.16 -
    Symantec 20101.1.1.7 2010.07.16 -
    TheHacker 6.5.2.1.316 2010.07.16 -
    TrendMicro 9.120.0.1004 2010.07.16 -
    TrendMicro-HouseCall 9.120.0.1004 2010.07.16 -
    VBA32 3.12.12.6 2010.07.16 -
    ViRobot 2010.7.12.3932 2010.07.16 -
    VirusBuster 5.0.27.0 2010.07.16 -
    Information additionnelle
    File size: 120 bytes
    MD5...: 8efeabdeec3de81c3dc42a2801ddf461
    SHA1..: 02f1032b36b1546af5815cd03befd0aa5a09b008
    SHA256: 643f2d4a4311c9af9f31a361a0e827c1aaa6520328d1374e2ee4a65e6e9a2a37
    ssdeep: 3:yxKdWoWgX6USwmaF5ctU0RpukCHeh2XVh:ycFWgX6LVTDUHM2Fh

    PEiD..: -
    PEInfo: -
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    trid..: Unknown!
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


    Collect::
    C:\WINDOWS\asedoqevoyoxaj.dll
    C:\WINDOWS\enusaqom.dll
    C:\WINDOWS\oqajuzes.dll
    c:\Documents and Settings\G'ricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe
    c:\WINDOWS\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf
    c:\windows\system32\drivers\ehrxibgc.sys
    C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe
    Driver::
    ehrxibgc
    registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "pfukqwye"="-
    [HKEY_USERS\S-1-5-21-1708537768-515967899-839522115-1004\Software\Microsoft\Windows\CurrentVersion\run]
    "pfukqwye"="-
    [HKEY_USERS\S-1-5-21-1708537768-515967899-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
    "C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe"=-


    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  13. mati62
     
    ComboFix 10-07-15.03 - Géricom 16/07/2010 16:21:31.4.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1007.658 [GMT 2:00]
    Lancé depuis: F:\ComboFix.exe
    Commutateurs utilisés :: F:\CFScript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
    * Un nouveau point de restauration a été créé
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-06-16 au 2010-07-16 ))))))))))))))))))))))))))))))))))))
    .

    2010-07-14 03:20 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
    2010-07-04 05:32 . 2010-07-04 05:32 300616 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
    2010-07-04 05:32 . 2010-07-04 05:32 329312 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
    2010-07-04 05:30 . 2010-07-04 05:30 -------- d-----w- c:\program files\Fichiers communs\xing shared
    2010-06-17 14:13 . 2010-06-17 14:13 -------- d-----w- c:\program files\PKR

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-07-16 14:27 . 2005-04-20 06:32 768000 ----a-w- c:\windows\system32\drivers\ehrxibgc.sys
    2010-07-14 04:57 . 2007-06-19 12:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-07-04 05:32 . 2007-10-04 14:28 -------- d-----w- c:\program files\Fichiers communs\Real
    2010-07-04 05:31 . 2007-10-04 14:28 -------- d-----w- c:\program files\Real
    2010-07-04 05:29 . 2007-06-14 17:16 499712 ----a-w- c:\windows\system32\msvcp71.dll
    2010-07-04 05:29 . 2007-06-14 17:16 348160 ----a-w- c:\windows\system32\msvcr71.dll
    2010-06-24 02:59 . 2004-08-05 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-24 02:59 . 2004-08-05 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-14 14:31 . 2007-06-06 10:28 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
    2010-06-02 13:15 . 2010-06-02 13:14 -------- d-----w- c:\program files\SecondLifeViewer2
    2010-06-02 04:22 . 2007-11-20 14:18 23259371 ----a-w- c:\windows\Internet Logs\tvDebug.zip
    2010-05-27 16:13 . 2009-05-14 09:34 -------- d-----w- c:\program files\BetClic Poker
    2010-05-27 14:04 . 2010-05-27 14:04 -------- d-----w- c:\program files\LittleFighter2
    2010-05-21 02:26 . 2010-03-06 13:11 -------- d-----w- c:\program files\Google
    2010-05-16 05:41 . 2010-05-16 05:44 1557504 ----a-w- c:\windows\Internet Logs\xDB66.tmp
    2010-05-16 05:41 . 2010-05-16 05:44 25088 ----a-w- c:\windows\Internet Logs\xDB65.tmp
    2010-05-11 07:40 . 2010-05-11 07:43 1554432 ----a-w- c:\windows\Internet Logs\xDB64.tmp
    2010-05-11 07:40 . 2010-05-11 07:43 872960 ----a-w- c:\windows\Internet Logs\xDB63.tmp
    2010-05-06 10:33 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-05-02 08:08 . 2004-08-05 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
    2010-04-20 05:30 . 2004-08-05 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
    2008-11-18 12:21 . 2008-11-18 12:21 1287872 ----a-w- c:\program files\WoW-2.3.0.7561-frFR-downloader.exe
    2010-02-16 11:22 . 2008-08-11 20:45 100995104 --sha-w- c:\windows\system32\drivers\fidbox.dat
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b30ed45f-a0f8-1afb-0d87-d6a72424bd61}]
    2010-03-30 20:41 1122304 ----a-w- c:\windows\system32\i_O6G3-H-w.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2009-07-26 3883856]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
    "pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10c.exe" [2009-07-18 257440]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
    "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
    "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_17\bin\jusched.exe" [2008-11-10 75264]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-07-04 202256]
    "pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Conference\\Conference.dll"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/08/2009 17:17 108289]
    R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [06/06/2007 14:09 191092]
    R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [06/06/2007 14:09 6100]
    S0 FVDSCSI;FVDSCSI;c:\windows\system32\DRIVERS\fvdscsi.sys --> c:\windows\system32\DRIVERS\fvdscsi.sys [?]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/03/2010 15:11 135664]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]
    S3 mdxgthkn;mdxgthkn;\??\c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys --> c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys [?]
    S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/07/2009 18:17 721904]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - ehrxibgc
    .
    Contenu du dossier 'Tâches planifiées'

    2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

    2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

    2010-07-16 c:\windows\Tasks\User_Feed_Synchronization-{4E1502AE-2B16-4283-ADA8-3B19C5BADB21}.job
    - c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = <local>
    uInternet Settings,ProxyServer = http=127.0.0.1:5643
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    Trusted Zone: tradedoubler.com\www
    DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
    DPF: {93344865-74BD-4873-BE65-56539D41A65C} - hxxp://www.earn2life.com/plugin/Earn2Life.cab
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-07-16 16:26
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ehrxibgc]

    .
    Heure de fin: 2010-07-16 16:29:28
    ComboFix-quarantined-files.txt 2010-07-16 14:29
    ComboFix2.txt 2010-07-16 10:34

    Avant-CF: 30 192 685 056 octets libres
    Après-CF: 30 190 624 768 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

    - - End Of File - - 5D87EE18375377A221592D421AED64B8
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu as mal fait nomme bien le fichier en CFscript (attention aux majuscules)

    Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


    Collect::
    C:\WINDOWS\asedoqevoyoxaj.dll
    C:\WINDOWS\enusaqom.dll
    C:\WINDOWS\oqajuzes.dll
    c:\Documents and Settings\G'ricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe
    c:\WINDOWS\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf
    c:\windows\system32\drivers\ehrxibgc.sys
    C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe
    File::
    C:\WINDOWS\asedoqevoyoxaj.dll
    C:\WINDOWS\enusaqom.dll
    C:\WINDOWS\oqajuzes.dll
    c:\Documents and Settings\G'ricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe
    c:\WINDOWS\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf
    c:\windows\system32\drivers\ehrxibgc.sys
    C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe
    Driver::
    ehrxibgc
    registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "pfukqwye"="-
    [HKEY_USERS\S-1-5-21-1708537768-515967899-839522115-1004\Software\Microsoft\Windows\CurrentVersion\run]
    "pfukqwye"="-
    [HKEY_USERS\S-1-5-21-1708537768-515967899-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
    "C:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe"=-


    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  15. mati62
     
    ComboFix 10-07-15.03 - Géricom 16/07/2010 16:46:18.5.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1007.665 [GMT 2:00]
    Lancé depuis: F:\ComboFix.exe
    Commutateurs utilisés :: F:\CFscript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

    FILE ::
    "c:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe"
    "c:\documents and settings\G'ricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe"
    "c:\windows\asedoqevoyoxaj.dll"
    "c:\windows\enusaqom.dll"
    "c:\windows\oqajuzes.dll"
    "c:\windows\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf"
    "c:\windows\system32\drivers\ehrxibgc.sys"

    file zipped: c:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe
    file zipped: c:\windows\asedoqevoyoxaj.dll
    file zipped: c:\windows\enusaqom.dll
    file zipped: c:\windows\oqajuzes.dll
    file zipped: c:\windows\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf
    file zipped: c:\windows\system32\drivers\ehrxibgc.sys
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\\Documents and Settings\\Géricom\\Local Settings\\Application Data\\inyxqhkkj\\kgvvayptssd.exe
    c:\windows\asedoqevoyoxaj.dll
    c:\windows\enusaqom.dll
    c:\windows\oqajuzes.dll
    c:\windows\Prefetch\KGVVAYPTSSD.EXE-33BD479D.pf
    c:\windows\system32\drivers\ehrxibgc.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_EHRXIBGC
    -------\Service_ehrxibgc

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-06-16 au 2010-07-16 ))))))))))))))))))))))))))))))))))))
    .

    2010-07-14 03:20 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
    2010-07-04 05:30 . 2010-07-04 05:30 -------- d-----w- c:\program files\Fichiers communs\xing shared
    2010-06-17 14:13 . 2010-06-17 14:13 -------- d-----w- c:\program files\PKR

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-07-14 04:57 . 2007-06-19 12:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
    2010-07-04 05:32 . 2010-07-04 05:32 300616 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
    2010-07-04 05:32 . 2010-07-04 05:32 329312 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
    2010-07-04 05:32 . 2007-10-04 14:28 -------- d-----w- c:\program files\Fichiers communs\Real
    2010-07-04 05:31 . 2007-10-04 14:28 -------- d-----w- c:\program files\Real
    2010-07-04 05:29 . 2007-06-14 17:16 499712 ----a-w- c:\windows\system32\msvcp71.dll
    2010-07-04 05:29 . 2007-06-14 17:16 348160 ----a-w- c:\windows\system32\msvcr71.dll
    2010-06-24 02:59 . 2004-08-05 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-24 02:59 . 2004-08-05 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-14 14:31 . 2007-06-06 10:28 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
    2010-06-02 13:15 . 2010-06-02 13:14 -------- d-----w- c:\program files\SecondLifeViewer2
    2010-06-02 04:22 . 2007-11-20 14:18 23259371 ----a-w- c:\windows\Internet Logs\tvDebug.zip
    2010-05-27 16:13 . 2009-05-14 09:34 -------- d-----w- c:\program files\BetClic Poker
    2010-05-27 14:04 . 2010-05-27 14:04 -------- d-----w- c:\program files\LittleFighter2
    2010-05-21 02:26 . 2010-03-06 13:11 -------- d-----w- c:\program files\Google
    2010-05-16 05:41 . 2010-05-16 05:44 1557504 ----a-w- c:\windows\Internet Logs\xDB66.tmp
    2010-05-16 05:41 . 2010-05-16 05:44 25088 ----a-w- c:\windows\Internet Logs\xDB65.tmp
    2010-05-11 07:40 . 2010-05-11 07:43 1554432 ----a-w- c:\windows\Internet Logs\xDB64.tmp
    2010-05-11 07:40 . 2010-05-11 07:43 872960 ----a-w- c:\windows\Internet Logs\xDB63.tmp
    2010-05-06 10:33 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-05-02 08:08 . 2004-08-05 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
    2010-04-20 05:30 . 2004-08-05 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
    2008-11-18 12:21 . 2008-11-18 12:21 1287872 ----a-w- c:\program files\WoW-2.3.0.7561-frFR-downloader.exe
    2010-02-16 11:22 . 2008-08-11 20:45 100995104 --sha-w- c:\windows\system32\drivers\fidbox.dat
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b30ed45f-a0f8-1afb-0d87-d6a72424bd61}]
    2010-03-30 20:41 1122304 ----a-w- c:\windows\system32\i_O6G3-H-w.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2009-07-26 3883856]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
    "pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
    "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
    "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_17\bin\jusched.exe" [2008-11-10 75264]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-07-04 202256]
    "pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Conference\\Conference.dll"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/07/2009 18:17 721904]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/08/2009 17:17 108289]
    R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [06/06/2007 14:09 191092]
    R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [06/06/2007 14:09 6100]
    S0 FVDSCSI;FVDSCSI;c:\windows\system32\DRIVERS\fvdscsi.sys --> c:\windows\system32\DRIVERS\fvdscsi.sys [?]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/03/2010 15:11 135664]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]
    S3 mdxgthkn;mdxgthkn;\??\c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys --> c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys [?]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

    2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

    2010-07-16 c:\windows\Tasks\User_Feed_Synchronization-{4E1502AE-2B16-4283-ADA8-3B19C5BADB21}.job
    - c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = <local>
    uInternet Settings,ProxyServer = http=127.0.0.1:5643
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    Trusted Zone: tradedoubler.com\www
    DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
    DPF: {93344865-74BD-4873-BE65-56539D41A65C} - hxxp://www.earn2life.com/plugin/Earn2Life.cab
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-07-16 16:54
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys atapi.sys spyi.sys >>UNKNOWN [0x86B8D938]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0xf75d8f28
    \Driver\ACPI -> ACPI.sys @ 0xf7411cb8
    \Driver\atapi -> prosync1.sys @ 0xf7a7e651
    IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615
    ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
    \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615
    ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
    NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf71f5bb0
    PacketIndicateHandler -> NDIS.sys @ 0xf7202a21
    SendHandler -> NDIS.sys @ 0xf71e087b
    user & kernel MBR OK

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(2336)
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\windows\system32\ZoneLabs\vsmon.exe
    c:\program files\Java\jre1.5.0_17\bin\jucheck.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-07-16 17:01:52 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-07-16 15:01
    ComboFix2.txt 2010-07-16 14:29
    ComboFix3.txt 2010-07-16 10:34

    Avant-CF: 30 202 626 048 octets libres
    Après-CF: 30 134 497 280 octets libres

    - - End Of File - - 6A84B7649F44E50DABE9E86A5C2D5DA4
    0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok parfait
    recommence la même chose avec ce texte:

    Collect::
    c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys
    File::
    c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj
    c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys
    Driver::
    mdxgthkn
    registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "pfukqwye"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "pfukqwye"=-

    et colle le rapport
    _________________

    puis
    scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    _________________

    dis nous ensuite comment va ton pc? l'antivirus remarche? zone alarm?
    0
  17. mati62
     
    ComboFix 10-07-15.03 - Géricom 16/07/2010 17:31:11.6.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1007.679 [GMT 2:00]
    Lancé depuis: F:\ComboFix.exe
    Commutateurs utilisés :: F:\CFscript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-06-16 au 2010-07-16 ))))))))))))))))))))))))))))))))))))
    .

    2010-07-14 03:20 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
    2010-07-04 05:32 . 2010-07-04 05:32 300616 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
    2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
    2010-07-04 05:32 . 2010-07-04 05:32 329312 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
    2010-07-04 05:30 . 2010-07-04 05:30 -------- d-----w- c:\program files\Fichiers communs\xing shared
    2010-06-17 14:13 . 2010-06-17 14:13 -------- d-----w- c:\program files\PKR

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-07-14 04:57 . 2007-06-19 12:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-07-04 05:32 . 2007-10-04 14:28 -------- d-----w- c:\program files\Fichiers communs\Real
    2010-07-04 05:31 . 2007-10-04 14:28 -------- d-----w- c:\program files\Real
    2010-07-04 05:29 . 2007-06-14 17:16 499712 ----a-w- c:\windows\system32\msvcp71.dll
    2010-07-04 05:29 . 2007-06-14 17:16 348160 ----a-w- c:\windows\system32\msvcr71.dll
    2010-06-24 02:59 . 2004-08-05 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-24 02:59 . 2004-08-05 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-14 14:31 . 2007-06-06 10:28 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
    2010-06-02 13:15 . 2010-06-02 13:14 -------- d-----w- c:\program files\SecondLifeViewer2
    2010-06-02 04:22 . 2007-11-20 14:18 23259371 ----a-w- c:\windows\Internet Logs\tvDebug.zip
    2010-05-27 16:13 . 2009-05-14 09:34 -------- d-----w- c:\program files\BetClic Poker
    2010-05-27 14:04 . 2010-05-27 14:04 -------- d-----w- c:\program files\LittleFighter2
    2010-05-21 02:26 . 2010-03-06 13:11 -------- d-----w- c:\program files\Google
    2010-05-16 05:41 . 2010-05-16 05:44 1557504 ----a-w- c:\windows\Internet Logs\xDB66.tmp
    2010-05-16 05:41 . 2010-05-16 05:44 25088 ----a-w- c:\windows\Internet Logs\xDB65.tmp
    2010-05-11 07:40 . 2010-05-11 07:43 1554432 ----a-w- c:\windows\Internet Logs\xDB64.tmp
    2010-05-11 07:40 . 2010-05-11 07:43 872960 ----a-w- c:\windows\Internet Logs\xDB63.tmp
    2010-05-06 10:33 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-05-02 08:08 . 2004-08-05 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
    2010-04-20 05:30 . 2004-08-05 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
    2008-11-18 12:21 . 2008-11-18 12:21 1287872 ----a-w- c:\program files\WoW-2.3.0.7561-frFR-downloader.exe
    2010-02-16 11:22 . 2008-08-11 20:45 100995104 --sha-w- c:\windows\system32\drivers\fidbox.dat
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b30ed45f-a0f8-1afb-0d87-d6a72424bd61}]
    2010-03-30 20:41 1122304 ----a-w- c:\windows\system32\i_O6G3-H-w.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2009-07-26 3883856]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
    "pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
    "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
    "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_17\bin\jusched.exe" [2008-11-10 75264]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-07-04 202256]
    "pfukqwye"="c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj\kgvvayptssd.exe" [2005-04-20 287488]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Conference\\Conference.dll"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/08/2009 17:17 108289]
    R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [06/06/2007 14:09 191092]
    R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [06/06/2007 14:09 6100]
    S0 FVDSCSI;FVDSCSI;c:\windows\system32\DRIVERS\fvdscsi.sys --> c:\windows\system32\DRIVERS\fvdscsi.sys [?]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/03/2010 15:11 135664]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]
    S3 mdxgthkn;mdxgthkn;\??\c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys --> c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys [?]
    S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/07/2009 18:17 721904]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

    2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

    2010-07-16 c:\windows\Tasks\User_Feed_Synchronization-{4E1502AE-2B16-4283-ADA8-3B19C5BADB21}.job
    - c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = <local>
    uInternet Settings,ProxyServer = http=127.0.0.1:5643
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    Trusted Zone: tradedoubler.com\www
    DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
    DPF: {93344865-74BD-4873-BE65-56539D41A65C} - hxxp://www.earn2life.com/plugin/Earn2Life.cab
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-07-16 17:40
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2010-07-16 17:43:03
    ComboFix-quarantined-files.txt 2010-07-16 15:43
    ComboFix2.txt 2010-07-16 15:01
    ComboFix3.txt 2010-07-16 14:29
    ComboFix4.txt 2010-07-16 10:34

    Avant-CF: 30 133 731 328 octets libres
    Après-CF: 30 122 676 224 octets libres

    - - End Of File - - 5A79A582CBBDF7D88D16957308D11749
    0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu as mal fais cette fois encore le glissé / déposé , recommence

    et nomme bien le fichier en CFscript
    0
  19. mati62
     
    en esperant que cette fois soit la bonne, je ferqis lanalyse avec malaware demain, merci de laide
    0
    1. mati62
       
      ComboFix 10-07-15.03 - Géricom 16/07/2010 17:54:17.7.1 - x86
      Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1007.656 [GMT 2:00]
      Lancé depuis: F:\ComboFix.exe
      Commutateurs utilisés :: F:\CFscript.txt
      AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
      FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

      FILE ::
      "c:\docume~1\GRICOM~1\LOCALS~1\Temp\mdxgthkn.sys"
      "c:\documents and settings\Géricom\Local Settings\Application Data\inyxqhkkj"
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_MDXGTHKN
      -------\Service_mdxgthkn


      ((((((((((((((((((((((((((((( Fichiers créés du 2010-06-16 au 2010-07-16 ))))))))))))))))))))))))))))))))))))
      .

      2010-07-14 03:20 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
      2010-07-04 05:30 . 2010-07-04 05:30 -------- d-----w- c:\program files\Fichiers communs\xing shared
      2010-06-17 14:13 . 2010-06-17 14:13 -------- d-----w- c:\program files\PKR

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-07-14 04:57 . 2007-06-19 12:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
      2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
      2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
      2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
      2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
      2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
      2010-07-04 05:32 . 2010-07-04 05:32 300616 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
      2010-07-04 05:32 . 2010-07-04 05:32 118784 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
      2010-07-04 05:32 . 2010-07-04 05:32 329312 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
      2010-07-04 05:32 . 2007-10-04 14:28 -------- d-----w- c:\program files\Fichiers communs\Real
      2010-07-04 05:31 . 2007-10-04 14:28 -------- d-----w- c:\program files\Real
      2010-07-04 05:29 . 2007-06-14 17:16 499712 ----a-w- c:\windows\system32\msvcp71.dll
      2010-07-04 05:29 . 2007-06-14 17:16 348160 ----a-w- c:\windows\system32\msvcr71.dll
      2010-06-24 02:59 . 2004-08-05 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
      2010-06-24 02:59 . 2004-08-05 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
      2010-06-14 14:31 . 2007-06-06 10:28 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
      2010-06-02 13:15 . 2010-06-02 13:14 -------- d-----w- c:\program files\SecondLifeViewer2
      2010-06-02 04:22 . 2007-11-20 14:18 23259371 ----a-w- c:\windows\Internet Logs\tvDebug.zip
      2010-05-27 16:13 . 2009-05-14 09:34 -------- d-----w- c:\program files\BetClic Poker
      2010-05-27 14:04 . 2010-05-27 14:04 -------- d-----w- c:\program files\LittleFighter2
      2010-05-21 02:26 . 2010-03-06 13:11 -------- d-----w- c:\program files\Google
      2010-05-16 05:41 . 2010-05-16 05:44 1557504 ----a-w- c:\windows\Internet Logs\xDB66.tmp
      2010-05-16 05:41 . 2010-05-16 05:44 25088 ----a-w- c:\windows\Internet Logs\xDB65.tmp
      2010-05-11 07:40 . 2010-05-11 07:43 1554432 ----a-w- c:\windows\Internet Logs\xDB64.tmp
      2010-05-11 07:40 . 2010-05-11 07:43 872960 ----a-w- c:\windows\Internet Logs\xDB63.tmp
      2010-05-06 10:33 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
      2010-05-02 08:08 . 2004-08-05 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
      2010-04-20 05:30 . 2004-08-05 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
      2008-11-18 12:21 . 2008-11-18 12:21 1287872 ----a-w- c:\program files\WoW-2.3.0.7561-frFR-downloader.exe
      2010-02-16 11:22 . 2008-08-11 20:45 100995104 --sha-w- c:\windows\system32\drivers\fidbox.dat
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b30ed45f-a0f8-1afb-0d87-d6a72424bd61}]
      2010-03-30 20:41 1122304 ----a-w- c:\windows\system32\i_O6G3-H-w.dll

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "msnmsgr"="c:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2009-07-26 3883856]
      "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
      "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
      "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
      "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
      "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
      "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
      "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
      "SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_17\bin\jusched.exe" [2008-11-10 75264]
      "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
      "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-07-04 202256]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Messenger\\msmsgs.exe"=
      "c:\\Program Files\\Conference\\Conference.dll"=
      "c:\\Program Files\\uTorrent\\uTorrent.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
      "c:\\Program Files\\iTunes\\iTunes.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
      "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

      R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/07/2009 18:17 721904]
      R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/08/2009 17:17 108289]
      R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [06/06/2007 14:09 191092]
      R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [06/06/2007 14:09 6100]
      S0 FVDSCSI;FVDSCSI;c:\windows\system32\DRIVERS\fvdscsi.sys --> c:\windows\system32\DRIVERS\fvdscsi.sys [?]
      S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/03/2010 15:11 135664]
      S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]
      .
      Contenu du dossier 'Tâches planifiées'

      2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

      2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-06 13:11]

      2010-07-16 c:\windows\Tasks\User_Feed_Synchronization-{4E1502AE-2B16-4283-ADA8-3B19C5BADB21}.job
      - c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
      .
      .
      ------- Examen supplémentaire -------
      .
      uInternet Settings,ProxyOverride = <local>
      uInternet Settings,ProxyServer = http=127.0.0.1:5643
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
      Trusted Zone: tradedoubler.com\www
      DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cab
      DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
      DPF: {93344865-74BD-4873-BE65-56539D41A65C} - hxxp://www.earn2life.com/plugin/Earn2Life.cab
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-07-16 18:02
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************

      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys atapi.sys splr.sys >>UNKNOWN [0x86B8E938]<<
      kernel: MBR read successfully
      detected MBR rootkit hooks:
      \Driver\Disk -> CLASSPNP.SYS @ 0xf75d8f28
      \Driver\ACPI -> ACPI.sys @ 0xf7411cb8
      \Driver\atapi -> prosync1.sys @ 0xf7a7e651
      IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615
      ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
      \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615
      ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
      NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf72b7bb0
      PacketIndicateHandler -> NDIS.sys @ 0xf72c4a21
      SendHandler -> NDIS.sys @ 0xf72a287b
      user & kernel MBR OK

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'explorer.exe'(464)
      c:\windows\system32\eappprxy.dll
      c:\windows\system32\webcheck.dll
      c:\windows\system32\WPDShServiceObj.dll
      c:\windows\system32\PortableDeviceTypes.dll
      c:\windows\system32\PortableDeviceApi.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\Avira\AntiVir Desktop\avguard.exe
      c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      c:\program files\Bonjour\mDNSResponder.exe
      c:\windows\system32\wscntfy.exe
      c:\program files\iPod\bin\iPodService.exe
      c:\windows\system32\ZoneLabs\vsmon.exe
      c:\program files\Java\jre1.5.0_17\bin\jucheck.exe
      .
      **************************************************************************
      .
      Heure de fin: 2010-07-16 18:09:39 - La machine a redémarré
      ComboFix-quarantined-files.txt 2010-07-16 16:09
      ComboFix2.txt 2010-07-16 15:43
      ComboFix3.txt 2010-07-16 15:01
      ComboFix4.txt 2010-07-16 14:29
      ComboFix5.txt 2010-07-16 15:53

      Avant-CF: 30 130 225 152 octets libres
      Après-CF: 30 119 231 488 octets libres

      - - End Of File - - 0BE5DEF481649D4A6B74714A761C1417
      0
  20. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok c'est bon

    fais le reste quand tu peux
    0
  21. mati62
     
    Malwarebytes' Anti-Malware 1.40
    Version de la base de données: 2726
    Windows 5.1.2600 Service Pack 3

    17/07/2010 02:31:16
    mbam-log-2010-07-17 (02-31-07).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 211727
    Temps écoulé: 8 hour(s), 0 minute(s), 51 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Program Files\Ad-Remover\Quarantine\C\WINDOWS\system32\kDvMUxKGSQ-_.exe.vir (Trojan.BHO) -> No action taken.
    C:\System Volume Information\_restore{5BDC1270-1411-4ABA-B27B-86698B96DB8B}\RP158\A0092505.exe (Trojan.BHO) -> No action taken.
    0
  • 1
  • 2