svchost.exe Fermé

Question

Bonjour, 

mon ordi est devenu très lent, je demande l'aide. voici le HiJackThis.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:47:09, on 25/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\All Users.WINDOWS\Application Data\U3\U3Launcher\LaunchU3.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32	askmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\banga\Mes documents\antivir\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users.WINDOWS\Application Data\Real\RealPlayer\BrowserRecordPlugin\IEpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: LaunchU3.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {50DC58D0-C870-4BE6-BC41-971ED2D5F022} (HookWlmEx Control) - http://www.super-messenger.fr/tab/HookWlmEx.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38AFEF2D-723D-474D-B209-9534567B2F22}: NameServer = 213.136.96.2 213.136.96.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{582C8A80-9258-4722-B86E-99F14FC1CAE1}: NameServer = 192.168.0.1
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service Google Update (gupdate1ca4f456ac7dd90) (gupdate1ca4f456ac7dd90) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

theboss59200 · Answer

donne ta configuration et je regarderais

gen-hackman · Answer

salut :: ▶ Télécharge WORT (de pc-system.fr) sur ton bureau : ▶ Puis crée ce dossier > C:\WORT -> Va dans poste de travail / clique sur ton disque C / puis clique droit dans cette fenêtre et choisis "créer"> "nouveau dossier" > nomme le exactement ainsi WORT ▶ Double clique sur WORT.exe pour lancer l'installation de l'outil . ▶ Ouvre le dossier WORT , clique sur WareOut_Removal_Tool.bat pour lancer l'outil et laisse toi guider ... ▶ Choisis l'option 1 et laisse travailler l'outil ... Une fois terminé, ▶ poste le rapport obtenu. Il sera enregistré dans C:\WORT\WORT_report.txt ( Il te sera proposé d'éxécuter le fichier WORTregfix.reg, accepte. ) ensuite : sauvegarde tes docs importants (c'est un mesure de securité) ensuite : /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" ________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

lebec2005 · Answer

ce que donne le rapport WORT;

===== Rapport WareOut Removal Tool ===== 
 
version 3.6.2 
 
analyse effectuée le 25/08/2010 à 12:58:46,22 
 
Résultats de l'analyse : 
======================== 
 
~~~~ Recherche d'infections dans C:\ ~~~~ 
 
C:\autorun.inf trouvé! 
C:\autorun.inf suppression impossible 
 
 
~~~~ Recherche d'infections dans C:\Program Files\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system32\drivers\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\banga\Application Data\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\banga\Bureau\ ~~~~ 
 
 
~~~~ Recherche de détournement de DNS ~~~~ 
 
 
 
~~~~ Recherche de Rootkits ~~~~ 
 
_______________________________________________________________________ 
 
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-25 12:59:31
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

_______________________________________________________________________ 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System	REG_SZ	

 
 
~~~~ Recherche d'infections dans C:\DOCUME~1\banga\LOCALS~1\Temp\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\banga\Start Menu\Programs\ ~~~~ 
 
 
~~~~ Nettoyage du registre ~~~~ 
 
 
~~~~ Tentative de réparation des entrées suivantes: ~~~~ 
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System" 
 
[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service] 
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service] 
 
~~~~ Vérification: ~~~~ 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System	REG_SZ	

 
 
_________________________________ 
 
développé par http://pc-system.fr 
_________________________________

gen-hackman · Answer

salut ok la suite :)

lebec2005 · Answer

ComboFix 10-08-24.0B - banga 25/08/2010  14:24:57.2.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.384.159 [GMT 0:00]
Lancé depuis: c:\documents and settings\banga\Mes documents\antivir\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Install.exe
C:\khq
D:\khq

----- BITS: Il y a peut-être des sites infectés -----

hxxp://download.yimg.com
.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-07-25 au 2010-08-25  ))))))))))))))))))))))))))))))))))))
.

2010-08-25 12:45 . 2010-08-25 13:00	--------	d-----w-	C:\WORT
2010-08-24 16:47 . 2010-08-24 16:47	503808	----a-w-	c:\documents and settings\banga\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-11ee97e3-n\msvcp71.dll
2010-08-24 16:47 . 2010-08-24 16:47	499712	----a-w-	c:\documents and settings\banga\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-11ee97e3-n\jmc.dll
2010-08-24 16:47 . 2010-08-24 16:47	348160	----a-w-	c:\documents and settings\banga\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-11ee97e3-n\msvcr71.dll
2010-08-24 16:46 . 2010-08-24 16:46	61440	----a-w-	c:\documents and settings\banga\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5bd270fb-n\decora-sse.dll
2010-08-24 16:46 . 2010-08-24 16:46	12800	----a-w-	c:\documents and settings\banga\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5bd270fb-n\decora-d3d.dll
2010-08-24 16:27 . 2010-08-24 16:27	--------	d-sh--w-	c:\documents and settings\banga\IECompatCache
2010-08-24 16:25 . 2010-08-24 16:25	--------	d-sh--w-	c:\documents and settings\banga\PrivacIE
2010-08-24 16:25 . 2010-08-24 16:25	--------	d-----w-	c:\documents and settings\banga\Application Data\Yahoo!
2010-08-24 16:24 . 2010-08-24 16:25	--------	d-----w-	c:\documents and settings\banga\Local Settings\Application Data\Google
2010-08-24 16:22 . 2010-08-24 16:22	72976	----a-w-	c:\documents and settings\banga\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-08-24 05:23 . 2010-08-25 13:54	--------	d-----w-	c:\documents and settings\banga\Tracing
2010-08-24 00:46 . 2010-08-24 03:55	--------	d-----w-	c:\windows\system32\NtmsData
2010-08-24 00:37 . 2010-08-25 14:43	--------	d-----w-	c:\documents and settings\banga\Application Data\WinPatrol
2010-08-24 00:35 . 2009-08-11 17:51	--------	d--h--w-	c:\documents and settings\banga\Modèles
2010-08-24 00:35 . 2009-08-11 17:34	--------	d--h--w-	c:\documents and settings\banga\Voisinage réseau
2010-08-24 00:35 . 2009-08-11 17:34	--------	d--h--w-	c:\documents and settings\banga\Voisinage d'impression
2010-08-24 00:35 . 2009-08-11 17:34	--------	d-----r-	c:\documents and settings\banga\Menu Démarrer
2010-08-24 00:35 . 2010-08-25 14:10	--------	d-----w-	c:\documents and settings\banga
2010-08-19 22:16 . 2008-04-13 18:45	32128	-c--a-w-	c:\windows\system32\dllcache\usbccgp.sys
2010-08-19 22:16 . 2008-04-13 18:45	32128	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2010-08-13 23:18 . 2010-08-13 23:18	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-08-13 23:13 . 2010-07-17 05:00	423656	----a-w-	c:\windows\system32\deployJava1.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-24 22:45 . 2009-08-14 18:01	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Application Data\Yahoo! Companion
2010-08-23 22:22 . 2009-08-13 23:42	10	----a-w-	c:\windows\popcinfo.dat
2010-08-22 23:43 . 2009-08-19 19:28	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-08-22 15:03 . 2010-03-12 09:03	53024	-c-ha-w-	c:\windows\system32\mlfcache.dat
2010-08-19 20:16 . 2010-05-13 22:38	--------	d-----w-	c:\program files\Micro Scrabble
2010-08-17 16:36 . 2009-09-10 06:23	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-08-13 23:12 . 2010-01-30 02:26	--------	d-----w-	c:\program files\Java
2010-08-11 07:57 . 2010-04-30 10:27	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft Help
2010-08-11 07:20 . 2001-08-28 12:00	81386	----a-w-	c:\windows\system32\perfc00C.dat
2010-08-11 07:20 . 2001-08-28 12:00	503238	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-30 16:46 . 2010-06-30 16:46	--------	d-----w-	c:\program files\DVDFab HD Decrypter 4
2010-06-30 16:37 . 2010-06-30 16:37	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Application Data\Babylon
2010-06-30 16:34 . 2009-09-16 05:41	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Application Data\NOS
2010-06-30 16:22 . 2010-06-30 14:36	--------	d-----w-	c:\program files\CamStudio
2010-06-30 12:32 . 2004-08-19 16:09	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:25 . 2004-08-19 16:09	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-19 16:00	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-23 12:24 . 2010-06-23 12:24	501936	----a-w-	c:\documents and settings\All Users.WINDOWS\Application Data\Google\Google Toolbar\Update\gtb17.tmp.exe
2010-06-21 15:27 . 2004-08-03 23:14	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-19 16:09	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2009-08-11 17:54	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:42 . 2004-08-19 16:09	1172480	----a-w-	c:\windows\system32\msxml3.dll
2010-06-09 08:06 . 2010-06-09 08:06	976832	----a-w-	c:\documents and settings\All Users.WINDOWS\Application Data\Adobe\Reader\9.3\ARM\31913\AdobeARM.exe
2010-06-09 08:06 . 2010-06-09 08:06	70584	----a-w-	c:\documents and settings\All Users.WINDOWS\Application Data\Adobe\Reader\9.3\ARM\31913\AdobeExtractFiles.dll
2010-06-09 08:06 . 2010-06-09 08:06	331176	----a-w-	c:\documents and settings\All Users.WINDOWS\Application Data\Adobe\Reader\9.3\ARM\31913\ReaderUpdater.exe
2010-06-09 08:06 . 2010-06-09 08:06	331176	----a-w-	c:\documents and settings\All Users.WINDOWS\Application Data\Adobe\Reader\9.3\ARM\31913\AcrobatUpdater.exe
2010-05-31 10:32 . 2010-05-31 10:32	82432	----a-w-	c:\windows\system32\msxml4r.dll
2010-05-31 10:32 . 2010-05-31 10:32	44544	----a-w-	c:\windows\system32\msxml4a.dll
2008-10-27 10:37 . 2008-10-27 10:37	699488	----a-w-	c:\program files\JUN2007_d3dx10_34_x86.cab
2008-10-27 10:36 . 2008-10-27 10:36	526160	----a-w-	c:\program files\DXSETUP.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\progra~1\BILLPS~1\WINPAT~1\winpatrol.exe" [2005-10-05 222784]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2010-04-29 202256]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users.WINDOWS\Menu D'marrer\Programmes\D'marrage\
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2010-4-26 1205840]
LaunchU3.exe.lnk - c:\windows\Installer\{D8E363A7-88B7-446D-B2C0-E26CE4DC8E54}\_294823.exe [2010-4-29 22486]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\JetAudio\JcServer.exe"=
"c:\Program Files\Opera\opera.exe"=
"c:\Program Files\Etoile Phone\EtoilePhone.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\VideoLAN\VLC\vlc.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/07/2009 21:10 108289]
R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [26/04/2010 23:36 104344]
R3 ne2000;Pilote de carte Novell/Eagle NE2000;c:\windows\system32\drivers
e2000.sys [11/08/2009 17:39 15872]
R3 S3Inc;S3Inc;c:\windows\system32\drivers\s3mt3d.sys [11/08/2009 17:39 41216]
S2 E4LOADER;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [26/04/2010 23:35 69656]
S2 gupdate1ca4f456ac7dd90;Service Google Update (gupdate1ca4f456ac7dd90);c:\program files\Google\Update\GoogleUpdate.exe [17/10/2009 16:18 133104]
S3 ELNK3;3Com EtherLink III;c:\windows\system32\drivers\elnk3.sys [21/08/2009 20:02 25159]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [10/09/2009 06:23 38224]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - DwProt

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2010-08-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2010-08-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-17 16:17]

2010-08-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-17 16:17]

2010-08-25 c:\windows\Tasks\User_Feed_Synchronization-{4DB0122C-1971-48CB-B6F1-219779B8568E}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 04:31]

2010-08-25 c:\windows\Tasks\User_Feed_Synchronization-{4DF1D022-A378-4128-8BBE-0302A33C732D}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 04:31]

2010-08-25 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-08-15 22:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
TCP: {38AFEF2D-723D-474D-B209-9534567B2F22} = 213.136.96.2 213.136.96.37
TCP: {582C8A80-9258-4722-B86E-99F14FC1CAE1} = 192.168.0.1
DPF: {50DC58D0-C870-4BE6-BC41-971ED2D5F022} - hxxp://www.super-messenger.fr/tab/HookWlmEx.exe
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-25 14:43
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DwProt]
"ImagePath"="system32\drivers\dwprot.sys"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
Heure de fin: 2010-08-25  14:52:47
ComboFix-quarantined-files.txt  2010-08-25 14:52

Avant-CF: 8 667 561 984 octets libres
Après-CF: 8 871 776 256 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 3D0AD14B0E857C06E4B3136249D64350

gen-hackman · Answer

tu n'as suivi aucune instruction

antivir tournait pendant le scan
tu n'as pas renommé combofix comme indiqué

lebec2005 · Answer

ComboFix 10-08-24.0C - banga 25/08/2010  22:01:28.4.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.384.175 [GMT 0:00]
Lancé depuis: c:\documents and settings\banga\Mes documents\antivir\ablo.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-07-25 au 2010-08-25  ))))))))))))))))))))))))))))))))))))
.

2010-08-25 15:09 . 2010-08-25 15:09	--------	d-----w-	c:\documents and settings\banga\WINDOWS
2010-08-25 12:45 . 2010-08-25 19:54	--------	d-----w-	C:\WORT
2010-08-24 16:47 . 2010-08-24 16:47	503808	----a-w-	c:\documents and settings\banga\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-11ee97e3-n\msvcp71.dll
2010-08-24 16:47 . 2010-08-24 16:47	499712	----a-w-	c:\documents and settings\banga\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-11ee97e3-n\jmc.dll
2010-08-24 16:47 . 2010-08-24 16:47	348160	----a-w-	c:\documents and settings\banga\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-11ee97e3-n\msvcr71.dll
2010-08-24 16:46 . 2010-08-24 16:46	61440	----a-w-	c:\documents and settings\banga\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5bd270fb-n\decora-sse.dll
2010-08-24 16:46 . 2010-08-24 16:46	12800	----a-w-	c:\documents and settings\banga\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5bd270fb-n\decora-d3d.dll
2010-08-24 16:27 . 2010-08-24 16:27	--------	d-sh--w-	c:\documents and settings\banga\IECompatCache
2010-08-24 16:25 . 2010-08-24 16:25	--------	d-sh--w-	c:\documents and settings\banga\PrivacIE
2010-08-24 16:25 . 2010-08-24 16:25	--------	d-----w-	c:\documents and settings\banga\Application Data\Yahoo!
2010-08-24 16:24 . 2010-08-24 16:25	--------	d-----w-	c:\documents and settings\banga\Local Settings\Application Data\Google
2010-08-24 16:22 . 2010-08-24 16:22	72976	----a-w-	c:\documents and settings\banga\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-08-24 05:23 . 2010-08-25 16:17	--------	d-----w-	c:\documents and settings\banga\Tracing
2010-08-24 00:46 . 2010-08-24 03:55	--------	d-----w-	c:\windows\system32\NtmsData
2010-08-24 00:37 . 2010-08-25 14:43	--------	d-----w-	c:\documents and settings\banga\Application Data\WinPatrol
2010-08-24 00:35 . 2009-08-11 17:51	--------	d--h--w-	c:\documents and settings\banga\Modèles
2010-08-24 00:35 . 2009-08-11 17:34	--------	d--h--w-	c:\documents and settings\banga\Voisinage réseau
2010-08-24 00:35 . 2009-08-11 17:34	--------	d--h--w-	c:\documents and settings\banga\Voisinage d'impression
2010-08-24 00:35 . 2009-08-11 17:34	--------	d-----r-	c:\documents and settings\banga\Menu Démarrer
2010-08-24 00:35 . 2010-08-25 20:02	--------	d-----w-	c:\documents and settings\banga
2010-08-19 22:16 . 2008-04-13 18:45	32128	-c--a-w-	c:\windows\system32\dllcache\usbccgp.sys
2010-08-19 22:16 . 2008-04-13 18:45	32128	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2010-08-13 23:18 . 2010-08-13 23:18	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-08-13 23:13 . 2010-07-17 05:00	423656	----a-w-	c:\windows\system32\deployJava1.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-24 22:45 . 2009-08-14 18:01	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Application Data\Yahoo! Companion
2010-08-23 22:22 . 2009-08-13 23:42	10	----a-w-	c:\windows\popcinfo.dat
2010-08-22 23:43 . 2009-08-19 19:28	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-08-22 15:03 . 2010-03-12 09:03	53024	-c-ha-w-	c:\windows\system32\mlfcache.dat
2010-08-19 20:16 . 2010-05-13 22:38	--------	d-----w-	c:\program files\Micro Scrabble
2010-08-17 16:36 . 2009-09-10 06:23	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-08-13 23:12 . 2010-01-30 02:26	--------	d-----w-	c:\program files\Java
2010-08-11 07:57 . 2010-04-30 10:27	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft Help
2010-08-11 07:20 . 2001-08-28 12:00	81386	----a-w-	c:\windows\system32\perfc00C.dat
2010-08-11 07:20 . 2001-08-28 12:00	503238	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-30 16:46 . 2010-06-30 16:46	--------	d-----w-	c:\program files\DVDFab HD Decrypter 4
2010-06-30 16:37 . 2010-06-30 16:37	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Application Data\Babylon
2010-06-30 16:34 . 2009-09-16 05:41	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Application Data\NOS
2010-06-30 16:22 . 2010-06-30 14:36	--------	d-----w-	c:\program files\CamStudio
2010-06-30 12:32 . 2004-08-19 16:09	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:25 . 2004-08-19 16:09	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-19 16:00	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-23 12:24 . 2010-06-23 12:24	501936	----a-w-	c:\documents and settings\All Users.WINDOWS\Application Data\Google\Google Toolbar\Update\gtb17.tmp.exe
2010-06-21 15:27 . 2004-08-03 23:14	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-19 16:09	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2009-08-11 17:54	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:42 . 2004-08-19 16:09	1172480	----a-w-	c:\windows\system32\msxml3.dll
2010-06-09 08:06 . 2010-06-09 08:06	976832	----a-w-	c:\documents and settings\All Users.WINDOWS\Application Data\Adobe\Reader\9.3\ARM\31913\AdobeARM.exe
2010-06-09 08:06 . 2010-06-09 08:06	70584	----a-w-	c:\documents and settings\All Users.WINDOWS\Application Data\Adobe\Reader\9.3\ARM\31913\AdobeExtractFiles.dll
2010-06-09 08:06 . 2010-06-09 08:06	331176	----a-w-	c:\documents and settings\All Users.WINDOWS\Application Data\Adobe\Reader\9.3\ARM\31913\ReaderUpdater.exe
2010-06-09 08:06 . 2010-06-09 08:06	331176	----a-w-	c:\documents and settings\All Users.WINDOWS\Application Data\Adobe\Reader\9.3\ARM\31913\AcrobatUpdater.exe
2010-05-31 10:32 . 2010-05-31 10:32	82432	----a-w-	c:\windows\system32\msxml4r.dll
2010-05-31 10:32 . 2010-05-31 10:32	44544	----a-w-	c:\windows\system32\msxml4a.dll
2008-10-27 10:37 . 2008-10-27 10:37	699488	----a-w-	c:\program files\JUN2007_d3dx10_34_x86.cab
2008-10-27 10:36 . 2008-10-27 10:36	526160	----a-w-	c:\program files\DXSETUP.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\progra~1\BILLPS~1\WINPAT~1\WinPatrol.exe" [2005-10-05 222784]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2010-04-29 202256]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users.WINDOWS\Menu D'marrer\Programmes\D'marrage\
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2010-4-26 1205840]
LaunchU3.exe.lnk - c:\windows\Installer\{D8E363A7-88B7-446D-B2C0-E26CE4DC8E54}\_294823.exe [2010-4-29 22486]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\JetAudio\JcServer.exe"=
"c:\Program Files\Opera\opera.exe"=
"c:\Program Files\Etoile Phone\EtoilePhone.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\VideoLAN\VLC\vlc.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/07/2009 21:10 108289]
R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [26/04/2010 23:36 104344]
R3 ne2000;Pilote de carte Novell/Eagle NE2000;c:\windows\system32\drivers
e2000.sys [11/08/2009 17:39 15872]
R3 S3Inc;S3Inc;c:\windows\system32\drivers\s3mt3d.sys [11/08/2009 17:39 41216]
S2 E4LOADER;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [26/04/2010 23:35 69656]
S2 gupdate1ca4f456ac7dd90;Service Google Update (gupdate1ca4f456ac7dd90);c:\program files\Google\Update\GoogleUpdate.exe [17/10/2009 16:18 133104]
S3 ELNK3;3Com EtherLink III;c:\windows\system32\drivers\elnk3.sys [21/08/2009 20:02 25159]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [10/09/2009 06:23 38224]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - DwProt

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2010-08-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2010-08-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-17 16:17]

2010-08-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-17 16:17]

2010-08-25 c:\windows\Tasks\User_Feed_Synchronization-{4DB0122C-1971-48CB-B6F1-219779B8568E}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 04:31]

2010-08-25 c:\windows\Tasks\User_Feed_Synchronization-{4DF1D022-A378-4128-8BBE-0302A33C732D}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 04:31]

2010-08-25 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-08-15 22:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
TCP: {38AFEF2D-723D-474D-B209-9534567B2F22} = 213.136.96.2 213.136.96.37
TCP: {582C8A80-9258-4722-B86E-99F14FC1CAE1} = 192.168.0.1
DPF: {50DC58D0-C870-4BE6-BC41-971ED2D5F022} - hxxp://www.super-messenger.fr/tab/HookWlmEx.exe
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-25 22:19
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DwProt]
"ImagePath"="system32\drivers\dwprot.sys"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2440)
c:\progra~1\BILLPS~1\WINPAT~1\PATROLPRO.DLL
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-08-25  22:29:29
ComboFix-quarantined-files.txt  2010-08-25 22:29
ComboFix2.txt  2010-08-25 14:52

Avant-CF: 8 730 603 520 octets libres
Après-CF: 8 728 211 456 octets libres

- - End Of File - - 3D6640F67859CA77B992AA613BA309D7

gen-hackman · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Driver:: DwProt File:: C:\Windows\system32\drivers\dwprot.sys ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt ?G3?-?@¢??@?(TM)©®?

Svchost.exe

8 réponses

Discussions similaires