Faux antivirus, security suite

Réponse 21 / 53

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

ok à refaire à l'avenir avec le G présent

comment va le pc ?

Réponse 22 / 53

sebitalie

il tourne, le pc de ma collegue a le meme probleme puisque c'est elle qui mqvqit fourni lq cle usb vendredi

Réponse 23 / 53

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

le pc de ma collegue a le meme probleme puisque c'est elle qui mqvqit fourni lq cle usb vendredi

qu'elle s'inscrive et vienne me voir ici

................

on termine

1)
IMPORTANT

Purger la restauration systeme XP

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm

.................

2)
Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

.......................................

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
- logiciels non à jour (windows, internet explorer, java, adobe reader etc)
- installation de toolbar
- fréquentation de sites piégés
- P2P
- Application de cracks
- Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

............................

WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX)
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse

..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

Réponse 24 / 53

sebitalie

j'ai le message GENERIC HOST PROCESS for win32 services qui s'affiche

Réponse 25 / 53

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

- dans démarrer
- panneau de config
- performances et maintenance
- outils d'administration
- services
- onglet étendu ou standard (bas à gauche)
- double click sur Generic Host Process for Win 32 Services ou Client DNS pour ouvrir boite de propriété de ce service
- si écrit démarré dans statut de service cliquer sur arrêter
- à type de démarrage cliquer sur désactiver
- OK
-fermer

Réponse 26 / 53

sebitalie

meme desactivé, j'ai encore le meme popup qui s'ouvre, quand que je clique sur envoyer ou non envoyer ou debut, je perds ma conexion internet

Réponse 27 / 53

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

on recommence

fais un nouveau rapport zhpdiag si tu l'as encore sinon

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Réponse 28 / 53

sebitalie

http://www.cijoint.fr/cjlink.php?file=cj201008/cijm0t8JvY.txt

j' ai envie de le bruler cet ordi ( c'est mon outils de travail.. )

Réponse 29 / 53

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

ok

1)

ce GroupWise est il fiable
car j'ai pour lui http://www.virustotal.com/file-scan/report.html?id=731c0d92f9c6e95a91e481e9f93715f3c22cef9a6163758efef55a90da10853c-1206382282

.....................

2)

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKCU\Software\wnxmal]

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

.......................

3)

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)

CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci

Réponse 30 / 53

sebitalie

1) ou fiable car c'est mon l outil pour la reception des mails ( comme outlook), fourni par ma boite

2)
Rapport de ZHPFix v1.12.3141 par Nicolas Coolman, Update du 27/08/2010
Fichier d'export Registre :
Run by spotel at 30/08/2010 20:02:11
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\wnxmal => Clé supprimée avec succès

========== Récapitulatif ==========
1 : Clé(s) du Registre

End of the scan

3)
2010/08/30 20:06:29.0180 TDSS rootkit removing tool 2.4.1.3 Aug 27 2010 08:53:42
2010/08/30 20:06:29.0180 ================================================================================
2010/08/30 20:06:29.0180 SystemInfo:
2010/08/30 20:06:29.0180
2010/08/30 20:06:29.0180 OS Version: 5.1.2600 ServicePack: 3.0
2010/08/30 20:06:29.0180 Product type: Workstation
2010/08/30 20:06:29.0180 ComputerName: ITROLT9X1KB3J
2010/08/30 20:06:29.0180 UserName: spotel
2010/08/30 20:06:29.0180 Windows directory: C:\WINDOWS
2010/08/30 20:06:29.0180 System windows directory: C:\WINDOWS
2010/08/30 20:06:29.0180 Processor architecture: Intel x86
2010/08/30 20:06:29.0180 Number of processors: 2
2010/08/30 20:06:29.0180 Page size: 0x1000
2010/08/30 20:06:29.0180 Boot type: Normal boot
2010/08/30 20:06:29.0180 ================================================================================
2010/08/30 20:06:29.0477 Initialize success

Réponse 31 / 53

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

* Télécharge Defogger
http://www.jpshortstuff.247fixes.com/Defogger.exe

=> lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé

ensuite

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

? Télécharge : Gmer (by Przemyslaw Gmerek)

http://www.gmer.net/

? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Réponse 32 / 53

sebitalie

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-08-30 23:20:42
Windows 5.1.2600 Service Pack 3
Running: etho25od.exe; Driver: C:\DOCUME~1\spotel\IMPOST~1\Temp\aglyqaow.sys

---- System - GMER 1.0.15 ----

SSDT \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys ZwUnloadKey [0xB47A86D0]

---- Kernel code sections - GMER 1.0.15 ----

? nwfilter.sys Impossibile trovare il file specificato. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB972B360, 0x36E81D, 0xE8000020]
.rsrc C:\WINDOWS\system32\DRIVERS\redbook.sys entry point in ".rsrc" section [0xBA253F94]
? C:\WINDOWS\system32\Drivers\uphcleanhlp.sys Impossibile trovare il file specificato. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\svchost.exe[1180] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 00DB000A
.text C:\WINDOWS\System32\svchost.exe[1180] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 00DA000A

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Fastfat \Fat B39B9D20

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device -> \Driver\atapi \Device\Harddisk0\DR0 8A50DEC5

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\001641b423b7 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001641b423b7 (not active ControlSet)
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001641b423b7

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\DRIVERS\redbook.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

Réponse 33 / 53

sebitalie

scan tres lent, pas de ligne rouge.. :(

Réponse 34 / 53

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

File C:\WINDOWS\system32\DRIVERS\redbook.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

................

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets provisoirement internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

Réponse 35 / 53

sebitalie

me voila de retour apres une semaine charge, je viens d'effectuer la derniere manip coòbo fix, ci joint le rapport,

ComboFix 10-09-04.06 - spotel 05/09/2010 19:57:23.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2046.1545 [GMT 2:00]
Eseguito da: c:\documents and settings\spotel\Documenti\Téléchargements\ComboFix.exe
AV: AVG Anti-Virus Network Edition *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
* Creato nuovo punto di ripristino
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\found.000\dir0001.chk\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\Annulation des contrat SDB\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\CONTRAT WTA\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\FIAT 500-MOBILITE et extensions\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\SIB- Tarif ALFA ROMEO Valide depuis le 15102007\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\SIB-TARIF FIAT VP Valide depuis le 15102007\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\SIB-TARIF FIAT VU Valide depuis le 15102007\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\SIB-TARIF LANCIA Valide depuis le 15102007\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\SM5- bravo 5 ANS 500000KMS\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\SN5- CROMA SW- EXTENSION DE GARANTIE 5 ans_500000 KMS\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\VIP SERVICE LANCIA\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\VP2 MOBILITE FIAT 500\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\2010 04 06 Découpage RZSC\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Archive circulaire\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Archive circulaire\Achats des PR au 01 03 2009\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Facturation garantie via eSIGI ++\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\ORGANISATION DPS AU 0104\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Pièces jointes eSIGI++\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\PROCESS BATTERIE\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process GARANTIE\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process GARANTIE\old\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process GARANTIE\old\circulaire du 05012009\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process GARANTIE\old\circulaire du 15052008\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process GARANTIE\process facturation eSIGI\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process GARANTIE\Process garantie au 01 avril 2010\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process MAJ chassis\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process MAJ chassis\CAMPER\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process MAJ chassis\vp\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process UTILISATION eTESEO\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Procédure véhicules de remplacement\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Procédure véhicules de remplacement\au 01112009\_desktop.ini
c:\found.000\dir0004.chk\OUTILS PFG\_desktop.ini
c:\found.000\dir0004.chk\OUTILS PFG\Interface-Service Garantie-Formation Garantie\_desktop.ini
c:\found.000\dir0004.chk\OUTILS PFG\Interface-Service Garantie-WSP-AUDIT\_desktop.ini
c:\found.000\dir0004.chk\OUTILS PFG\Service NEWS\_desktop.ini
c:\found.000\dir0005.chk\_desktop.ini
c:\found.000\dir0005.chk\ACTUALITE\_desktop.ini
c:\found.000\dir0005.chk\Autoradio et connect\_desktop.ini
c:\found.000\dir0005.chk\Autoradio et connect\Grundig\_desktop.ini
c:\found.000\dir0005.chk\Autoradio et connect\nouveaute bosh blaupunkt 2010\_desktop.ini
c:\found.000\dir0005.chk\AUTORADIO SUPER U_TOKAI\_desktop.ini
c:\found.000\dir0005.chk\Consultation des Services news\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\Archives\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\Archives\regul MO\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\CALCUL TAUX MO\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\CALCUL TAUX MO\OLD\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\CLASSE MO\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\CLASSE MO\old\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Abbeville 80\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Carpiquet 20093\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\ALBI-20074-22106-16802\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\AMIENS-20075\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\BESANCON\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\CASTRES 16801-20073-22105\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\charleville meziere\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\CHERBOURG\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\COMPIEGNE 16803\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\La garde 20078\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\LE HAVRE- 20072\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\LE HAVRE 20083 22110\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\maizieres les mets 20087\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\MELUN\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\PARIS 15\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\puget sur agens 20079\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\RIORGES-20061\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\ROUEN-20071\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\saint dizier\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\vitrolles 20086 22112 16771\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\ECHIROLLES 16812 22114\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\LA SEYNE SUR MER\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\LONS LE Saunier 39\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Nice 16816\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Pertuis 16815\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\RENNES 6440\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\ROANNE 20077 22107\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\ROUBAIX 59\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\ROUEN 20092\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Sens 20084\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Thonons les bains 74\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\TRAPPES 20082\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Valenciennes 20094-22117\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\VITROLLES 20076\_desktop.ini
c:\found.000\dir0005.chk\Découpage CCPS\_desktop.ini
c:\found.000\dir0005.chk\Découpage Commercial VN, FIAT PROFESSIONAL\_desktop.ini
c:\found.000\dir0005.chk\Exemple de visite d'entretien FRAIKIN\_desktop.ini
c:\found.000\dir0005.chk\GESTE COMMERCIAUX, grilles\_desktop.ini
c:\found.000\dir0005.chk\GESTE COMMERCIAUX, grilles\old\_desktop.ini
c:\found.000\dir0005.chk\Gestion des MAJ Chassis Petit forestier\_desktop.ini
c:\found.000\dir0005.chk\Gestion des MAJ Chassis Petit forestier\old\_desktop.ini
c:\found.000\dir0005.chk\Gestion des TEMPS CAMPING CAR\_desktop.ini
c:\found.000\dir0005.chk\GRILLE D'USURE\_desktop.ini
c:\found.000\dir0005.chk\LIQUIDES ET HUILES Quelques Références\_desktop.ini
c:\found.000\dir0005.chk\MAJ CHASSIS\_desktop.ini
c:\found.000\dir0005.chk\MAJ CHASSIS\Process FIAT FRANCE MAJ chassis\_desktop.ini
c:\found.000\dir0005.chk\MAJ CHASSIS\Process FIAT FRANCE MAJ chassis\CAMPER\_desktop.ini
c:\found.000\dir0005.chk\MAJ CHASSIS\Process FIAT FRANCE MAJ chassis\vp\_desktop.ini
c:\found.000\dir0005.chk\MISSIONNER UN CT\_desktop.ini
c:\found.000\dir0005.chk\MISSIONNER UN CT\carte des CT\_desktop.ini
c:\found.000\dir0005.chk\Modèle véhicule FIAT_ALFA_LANCIA\_desktop.ini
c:\found.000\dir0005.chk\Outils pour la correction DG\_desktop.ini
c:\found.000\dir0005.chk\Outils pour la correction DG\old\_desktop.ini
c:\found.000\dir0005.chk\PNEUMATIQUE CROMA SUITE 5138\_desktop.ini
c:\found.000\dir0005.chk\Procedure de Validation des DG par l'italie\_desktop.ini
c:\found.000\dir0005.chk\PROCEDURE LIVRAISON Véhicule (TEA, CALIBRO, STOCKAGE)\_desktop.ini
c:\found.000\dir0005.chk\PROCEDURE LIVRAISON Véhicule (TEA, CALIBRO, STOCKAGE)\110_STOCKAGE ET MISE A LA ROUTE VN\_desktop.ini
c:\found.000\dir0005.chk\PROCEDURE LIVRAISON Véhicule (TEA, CALIBRO, STOCKAGE)\Procedure de Gestion des Dommages de TRANSPORT\_desktop.ini
c:\found.000\dir0005.chk\PROCEDURE RC\_desktop.ini
c:\found.000\dir0005.chk\PROCEDURE RC\old\_desktop.ini
c:\found.000\dir0005.chk\PROCESS GARANTIE\_desktop.ini
c:\found.000\dir0005.chk\PROCESS GARANTIE\Process accord préalable au 05012009\_desktop.ini
c:\found.000\dir0005.chk\Procédure PESEE D'huile suite consommation excessive\_desktop.ini
c:\found.000\dir0005.chk\QUI FAIT QUOI CHEZ FIAT FRANCE\_desktop.ini
c:\found.000\dir0005.chk\REMISE PR\_desktop.ini
c:\found.000\dir0005.chk\Retour sur réparation\_desktop.ini
c:\found.000\dir0005.chk\solution E.P.I\_desktop.ini
c:\found.000\dir0005.chk\TESEO-Garantie\_desktop.ini
c:\found.000\dir0005.chk\TRANSFORMATION D'une SEICENTO CYTIMATIC EN MANUEL\_desktop.ini
c:\found.000\dir0005.chk\TRAVAUX EXTERIEURS BAREMES\_desktop.ini

La copia infetta di c:\windows\system32\drivers\redbook.sys è stata trovata e disinfettata
ipristinata copia da - Kitty had a snack :p
.
((((((((((((((((((((((((( Files Creati Da 2010-08-05 al 2010-09-05 )))))))))))))))))))))))))))))))))))
.

2010-09-05 17:41 . 2010-09-05 17:43 -------- d-----w- c:\windows\system32\NtmsData
2010-09-03 06:59 . 2010-09-03 06:59 -------- d-----r- c:\documents and settings\NetworkService\Preferiti
2010-08-30 18:06 . 2010-08-30 19:43 -------- d-----w- C:\tdsskiller
2010-08-30 08:10 . 2010-08-30 08:10 0 ----a-w- c:\windows\nsreg.dat
2010-08-30 08:10 . 2010-08-30 08:10 -------- d-----w- c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\Mozilla
2010-08-29 10:26 . 2010-08-30 18:02 -------- d-----w- c:\programmi\ZHPDiag
2010-08-27 18:33 . 2010-08-27 18:33 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\nView_Profiles
2010-08-27 14:43 . 2010-08-27 14:43 -------- d-----w- c:\documents and settings\spotel\Dati applicazioni\Malwarebytes
2010-08-27 14:41 . 2010-08-27 14:41 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-08-27 14:41 . 2010-08-29 19:22 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-08-27 10:57 . 2010-08-30 09:00 -------- d-----w- c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\iraicsymv
2010-08-27 06:26 . 2010-08-27 06:26 536064 ----a-w- c:\windows\system32\RegShellSM.exe
2010-08-23 07:46 . 2010-08-23 07:46 -------- d-----w- C:\$AVG
2010-08-19 12:29 . 2010-08-31 07:53 -------- d-----w- c:\programmi\Paraben's Flow Charter
2010-08-18 09:56 . 2010-08-29 19:21 -------- d-----w- c:\programmi\SpeedFan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-05 17:56 . 2004-08-19 12:00 81108 ----a-w- c:\windows\system32\perfc010.dat
2010-09-05 17:56 . 2004-08-19 12:00 482884 ----a-w- c:\windows\system32\perfh010.dat
2010-09-03 12:09 . 2008-05-15 07:19 56622 ----a-w- c:\windows\system32\nvModes.dat
2010-08-27 16:38 . 2009-05-04 09:06 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-08-27 16:32 . 2010-04-12 15:25 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg9
2010-08-27 16:32 . 2009-04-30 16:40 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg8
2010-08-27 13:43 . 2008-05-15 14:42 -------- d-----w- c:\programmi\CCleaner
2010-08-25 17:05 . 2010-07-06 16:03 -------- d-----w- c:\documents and settings\spotel\Dati applicazioni\U3
2010-08-18 07:54 . 2009-09-03 09:44 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2010-07-18 11:18 . 2010-07-18 11:18 -------- d-----w- c:\documents and settings\spotel\Dati applicazioni\vlc
2010-07-18 11:17 . 2010-07-18 11:17 -------- d-----w- c:\programmi\VideoLAN
2010-07-08 12:33 . 2008-05-15 09:30 -------- d-----w- c:\programmi\JkDefrag
2010-07-06 10:12 . 2010-07-06 10:12 12536 ----a-w- c:\windows\system32\avgrsstx.dll
2010-07-06 10:12 . 2009-04-30 16:40 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-07-02 14:19 . 2010-07-02 14:19 69224 ----a-w- c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-07-02 14:13 . 2008-05-15 15:17 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-06-30 12:31 . 2004-08-19 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2006-03-04 03:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-19 12:00 1851904 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-19 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-19 12:00 80384 ----a-w- c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2008-05-14 15:15 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2004-08-19 12:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 110592]
"IntelZeroConfig"="c:\programmi\Intel\Wireless\bin\ZCfgSvc.exe" [2007-07-25 823296]
"IntelWireless"="c:\programmi\Intel\Wireless\Bin\ifrmewrk.exe" [2007-07-25 974848]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-22 13508608]
"nwiz"="nwiz.exe" [2008-02-22 1626112]
"NVHotkey"="nvHotkey.dll" [2008-02-22 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-22 86016]
"SigmatelSysTrayApp"="c:\programmi\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"NWTRAY"="NWTRAY.EXE" [2002-03-12 28672]
"iPrint Tray"="c:\windows\system32\iprntctl.exe" [2007-09-06 40960]
"iPrint Event Monitor"="c:\windows\system32\iprntlgn.exe" [2007-09-06 45056]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-06 2065760]
"MobileConnect"="c:\programmi\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2009-09-18 2412032]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Bluetooth Manager.lnk - c:\programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-11-18 1724416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-06 10:12 12536 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwv1_0

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Novell\\GroupWise\\grpwise.exe"=
"c:\\Novell\\GroupWise\\notify.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Programmi\\AVG\\AVG9\\avgam.exe"=
"c:\\Programmi\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [30/04/2009 18:40 52872]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [30/04/2009 18:40 216400]
R1 nipplpt2;Novell iCapture Lpt Redirector 2;c:\windows\system32\drivers\nipplpt.sys [04/05/2009 10:57 34671]
R2 avg9wd;AVG WatchDog;c:\programmi\AVG\AVG9\avgwdsvc.exe [06/07/2010 12:12 308136]
R2 VMCService;Vodafone Mobile Connect Service;c:\programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [18/09/2009 17:48 9216]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - uphcleanhlp
.
Contenuto della cartella 'Scheduled Tasks'

2010-09-05 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Scansione supplementare -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:6522
uInternet Settings,ProxyOverride = <local>
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\spotel\Dati applicazioni\Mozilla\Firefox\Profiles\008gm4im.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - prefs.js: network.proxy.type - 0
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

AddRemove-Usbfix - c:\usbfix\Un-Usbfix.exe

**************************************************************************
scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti:

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(1116)
c:\windows\system32\NETWIN32.DLL
.
Ora fine scansione: 2010-09-05 20:03:47
ComboFix-quarantined-files.txt 2010-09-05 18:03

Pre-Run: 58 720 464 896 byte disponibili
Post-Run: 59 222 536 192 byte disponibili

WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - C89537EE0B0B8E6DBEFFBE5DD343EE1A

Réponse 36 / 53

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

pas facile à lire pour moi quand c'est pas en francais

(sourire)

un rootkit de trouvé

reste un deuxième probablement à aller chercher

1)

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour sebitalie, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::

Folder::

c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\iraicsymv

DDS::

uInternet Settings,ProxyServer = http=127.0.0.1:6522

* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

..........................

2)

Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

atapi

* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "

* Au niveau des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage )

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

Réponse 37 / 53

sebitalie

dslò, j'ai pas compris l etape, ( cerveau surt en sommeil :)

* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.

Réponse 38 / 53

sebitalie

mon cerveau s'est reveillé, je continue

Réponse 39 / 53

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

comme ca

http://img155.imageshack.us/img155/4837/cfscriptop0.gif

Réponse 40 / 53

sebitalie

1)

ComboFix 10-09-04.06 - spotel 05/09/2010 21:10:15.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2046.1401 [GMT 2:00]
Eseguito da: c:\documents and settings\spotel\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\spotel\Desktop\CFScript.txt
AV: AVG Anti-Virus Network Edition *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\iraicsymv

.
((((((((((((((((((((((((( Files Creati Da 2010-08-05 al 2010-09-05 )))))))))))))))))))))))))))))))))))
.

2010-09-05 18:59 . 2010-09-05 19:00 -------- d-----w- c:\programmi\SEAF
2010-09-05 17:41 . 2010-09-05 17:43 -------- d-----w- c:\windows\system32\NtmsData
2010-09-03 06:59 . 2010-09-03 06:59 -------- d-----r- c:\documents and settings\NetworkService\Preferiti
2010-08-30 18:06 . 2010-08-30 19:43 -------- d-----w- C:\tdsskiller
2010-08-30 08:10 . 2010-08-30 08:10 0 ----a-w- c:\windows\nsreg.dat
2010-08-30 08:10 . 2010-08-30 08:10 -------- d-----w- c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\Mozilla
2010-08-29 10:26 . 2010-08-30 18:02 -------- d-----w- c:\programmi\ZHPDiag
2010-08-27 18:33 . 2010-08-27 18:33 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\nView_Profiles
2010-08-27 14:43 . 2010-08-27 14:43 -------- d-----w- c:\documents and settings\spotel\Dati applicazioni\Malwarebytes
2010-08-27 14:41 . 2010-08-27 14:41 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-08-27 14:41 . 2010-08-29 19:22 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-08-27 06:26 . 2010-08-27 06:26 536064 ----a-w- c:\windows\system32\RegShellSM.exe
2010-08-23 07:46 . 2010-08-23 07:46 -------- d-----w- C:\$AVG
2010-08-19 12:29 . 2010-08-31 07:53 -------- d-----w- c:\programmi\Paraben's Flow Charter
2010-08-18 09:56 . 2010-08-29 19:21 -------- d-----w- c:\programmi\SpeedFan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-05 18:04 . 2004-08-19 12:00 81108 ----a-w- c:\windows\system32\perfc010.dat
2010-09-05 18:04 . 2004-08-19 12:00 482884 ----a-w- c:\windows\system32\perfh010.dat
2010-09-03 12:09 . 2008-05-15 07:19 56622 ----a-w- c:\windows\system32\nvModes.dat
2010-08-27 16:38 . 2009-05-04 09:06 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-08-27 16:32 . 2010-04-12 15:25 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg9
2010-08-27 16:32 . 2009-04-30 16:40 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg8
2010-08-27 13:43 . 2008-05-15 14:42 -------- d-----w- c:\programmi\CCleaner
2010-08-25 17:05 . 2010-07-06 16:03 -------- d-----w- c:\documents and settings\spotel\Dati applicazioni\U3
2010-08-18 07:54 . 2009-09-03 09:44 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2010-07-18 11:18 . 2010-07-18 11:18 -------- d-----w- c:\documents and settings\spotel\Dati applicazioni\vlc
2010-07-18 11:17 . 2010-07-18 11:17 -------- d-----w- c:\programmi\VideoLAN
2010-07-08 12:33 . 2008-05-15 09:30 -------- d-----w- c:\programmi\JkDefrag
2010-07-06 10:12 . 2010-07-06 10:12 12536 ----a-w- c:\windows\system32\avgrsstx.dll
2010-07-06 10:12 . 2009-04-30 16:40 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-07-02 14:19 . 2010-07-02 14:19 69224 ----a-w- c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-07-02 14:13 . 2008-05-15 15:17 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-06-30 12:31 . 2004-08-19 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2006-03-04 03:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-19 12:00 1851904 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-19 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-19 12:00 80384 ----a-w- c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2008-05-14 15:15 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2004-08-19 12:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 110592]
"IntelZeroConfig"="c:\programmi\Intel\Wireless\bin\ZCfgSvc.exe" [2007-07-25 823296]
"IntelWireless"="c:\programmi\Intel\Wireless\Bin\ifrmewrk.exe" [2007-07-25 974848]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-22 13508608]
"nwiz"="nwiz.exe" [2008-02-22 1626112]
"NVHotkey"="nvHotkey.dll" [2008-02-22 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-22 86016]
"SigmatelSysTrayApp"="c:\programmi\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"NWTRAY"="NWTRAY.EXE" [2002-03-12 28672]
"iPrint Tray"="c:\windows\system32\iprntctl.exe" [2007-09-06 40960]
"iPrint Event Monitor"="c:\windows\system32\iprntlgn.exe" [2007-09-06 45056]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-06 2065760]
"MobileConnect"="c:\programmi\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2009-09-18 2412032]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Bluetooth Manager.lnk - c:\programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-11-18 1724416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-06 10:12 12536 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwv1_0

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Novell\\GroupWise\\grpwise.exe"=
"c:\\Novell\\GroupWise\\notify.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Programmi\\AVG\\AVG9\\avgam.exe"=
"c:\\Programmi\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [30/04/2009 18:40 52872]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [30/04/2009 18:40 216400]
R1 nipplpt2;Novell iCapture Lpt Redirector 2;c:\windows\system32\drivers\nipplpt.sys [04/05/2009 10:57 34671]
R2 avg9wd;AVG WatchDog;c:\programmi\AVG\AVG9\avgwdsvc.exe [06/07/2010 12:12 308136]
R2 VMCService;Vodafone Mobile Connect Service;c:\programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [18/09/2009 17:48 9216]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - uphcleanhlp
.
Contenuto della cartella 'Scheduled Tasks'

2010-09-05 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Scansione supplementare -------
.
uInternet Settings,ProxyOverride = <local>
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\spotel\Dati applicazioni\Mozilla\Firefox\Profiles\008gm4im.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - prefs.js: network.proxy.type - 0
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-05 21:14
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(1120)
c:\windows\system32\NETWIN32.DLL

- - - - - - - > 'Explorer.exe'(964)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\windows\system32\NETWIN32.DLL
c:\windows\system32\nvcpl.dll
c:\windows\system32\NVRSFR.DLL
c:\windows\system32\nvshell.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Intel\Wireless\Bin\S24EvMon.exe
c:\programmi\AVG\AVG9\avgchsvx.exe
c:\programmi\AVG\AVG9\avgrsx.exe
c:\windows\System32\SCardSvr.exe
c:\programmi\AVG\AVG9\avgcsrvx.exe
c:\programmi\Intel\Wireless\Bin\EvtEng.exe
c:\programmi\AVG\AVG9\avgam.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programmi\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\programmi\Intel\Wireless\Bin\RegSrvc.exe
c:\programmi\UPHClean\uphclean.exe
c:\programmi\Intel\Wireless\Bin\WLKeeper.exe
c:\programmi\AVG\AVG9\avgcsrvx.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\NWTRAY.EXE
c:\programmi\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programmi\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
c:\programmi\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
c:\programmi\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
.
**************************************************************************
.
Ora fine scansione: 2010-09-05 21:18:53 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-09-05 19:18
ComboFix2.txt 2010-09-05 18:03

Pre-Run: 59 225 952 256 byte disponibili
Post-Run: 59 212 251 136 byte disponibili

- - End Of File - - 87001683D40A655F9304D74865455CC0

Faux antivirus, security suite

53 réponses

Votre réponse

Discussions similaires