Comment supprimer spywares

radradrad Messages postés 3 Statut Membre -  
 radradrad -
Bonjour,

Voilà j'ai eu différents spywares que j'ai essayé de supprimer mais je n'y suis pas parvenu. Tout à commencé lorsque ma connexion se coupait assez vite après le démarrage et certains prog qui ne se lançaient plus! J'ai entre autres plusiers iexplore.exe dans le gestionnaire des taches...

8 réponses

  1. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Hello,

    On va tout d'abord jeter un oeil sur ta machine :

    Télécharge ZhpDiag de Nicolas Coolman .

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php

    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.
    1
  2. radradrad Messages postés 3 Statut Membre
     
    merci pour ton aide,

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijnJQZvEq.txt
    0
  3. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Télécharges ComboFix à partir d'un de ces liens :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    https://forospyware.com
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Et important, enregistre le sur le bureau.

    Avant d'utiliser ComboFix :

    ? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    ? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    la protection en temps réel de ton Antivirus et de tes Antispywares,
    qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
    est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    ? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
    avant de te reconnecter à internet.

    ? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  4. radradrad Messages postés 3 Statut Membre
     
    omboFix 10-09-17.04 - Administrateur 18/09/2010 14:26:57.91.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3071.2548 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
    FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\msvcsv60.dll

    c:\windows\system32\drivers\cdrom.sys . . . manque!!

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-18 au 2010-09-18 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-18 11:44 . 2010-09-18 11:45 -------- d-----w- c:\program files\ZHPDiag
    2010-09-17 13:11 . 2010-09-17 13:14 -------- d-----w- C:\C
    2010-09-16 20:04 . 2010-09-16 20:42 -------- d-----w- c:\program files\ewido anti-spyware 4.0
    2010-09-16 18:32 . 2010-09-16 18:32 94720 --sha-r- c:\windows\system32\chcpi.dll
    2010-09-16 16:51 . 2010-09-16 16:51 -------- d-----w- c:\program files\Peavey Electronics
    2010-09-15 18:57 . 2010-09-15 18:57 -------- d-----w- c:\windows\system32\wbem\Repository
    2010-08-25 20:30 . 2010-08-26 11:14 25992 ----a-w- c:\windows\system32\pgdfgsvc.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-18 12:30 . 2009-12-03 18:39 119236640 --sha-w- c:\windows\system32\drivers\fidbox.dat
    2010-09-18 10:44 . 2010-09-18 10:46 93184 ----a-w- c:\windows\Internet Logs\xDBE.tmp
    2010-09-18 10:44 . 2010-09-18 10:46 1315328 ----a-w- c:\windows\Internet Logs\xDBF.tmp
    2010-09-17 22:09 . 2009-12-03 18:39 1405004 --sha-w- c:\windows\system32\drivers\fidbox.idx
    2010-09-17 21:10 . 2008-05-03 10:48 32 -c--a-w- c:\windows\msocreg32.dat
    2010-09-17 20:48 . 2006-09-25 13:49 -------- d-----w- c:\program files\mIRC
    2010-09-17 13:23 . 2009-03-20 19:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Mumble
    2010-09-17 12:33 . 2010-09-17 12:43 1824768 ----a-w- c:\windows\Internet Logs\xDBC.tmp
    2010-09-17 12:33 . 2010-09-17 12:43 34304 ----a-w- c:\windows\Internet Logs\xDBB.tmp
    2010-09-17 12:25 . 2010-09-17 12:43 1824256 ----a-w- c:\windows\Internet Logs\xDBD.tmp
    2010-09-16 21:06 . 2010-05-13 10:06 6305401 ----a-w- c:\windows\Internet Logs\tvDebug.zip
    2010-09-16 20:19 . 2010-09-16 20:40 1785344 ----a-w- c:\windows\Internet Logs\xDBA.tmp
    2010-09-16 20:19 . 2010-09-16 20:40 2712064 ----a-w- c:\windows\Internet Logs\xDB9.tmp
    2010-09-16 18:55 . 2010-09-16 19:05 1777664 ----a-w- c:\windows\Internet Logs\xDB8.tmp
    2010-09-16 18:19 . 2007-10-06 16:50 -------- d-----w- c:\program files\eMule
    2010-09-15 18:56 . 2009-07-30 20:08 -------- d-----w- c:\program files\SopCast
    2010-09-15 18:56 . 2007-10-30 11:50 -------- d-----w- c:\program files\Feuvert
    2010-09-15 18:52 . 2008-10-19 11:05 -------- d-----w- c:\program files\Full Tilt Poker
    2010-09-15 18:52 . 2010-02-06 20:27 -------- d-----w- c:\program files\Mumble
    2010-09-15 13:10 . 2006-09-25 12:06 -------- d-----w- c:\documents and settings\Administrateur\Application Data\teamspeak2
    2010-09-10 18:51 . 2008-09-05 11:37 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Microgaming
    2010-08-29 20:11 . 2010-08-29 20:26 1731072 ----a-w- c:\windows\Internet Logs\xDB7.tmp
    2010-08-14 23:13 . 2010-08-15 10:16 1712640 ----a-w- c:\windows\Internet Logs\xDB6.tmp
    2010-08-11 20:04 . 2010-08-11 20:04 -------- d-----w- c:\program files\Auslogics
    2010-08-09 11:14 . 2010-08-09 11:23 514048 ----a-w- c:\windows\Internet Logs\xDB4.tmp
    2010-08-09 11:14 . 2010-08-09 11:23 1693696 ----a-w- c:\windows\Internet Logs\xDB5.tmp
    2010-08-06 19:13 . 2010-08-06 19:12 -------- d-----w- c:\documents and settings\Administrateur\Application Data\TS3Client
    2010-08-04 12:36 . 2010-08-04 12:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Overloud
    2010-08-01 11:49 . 2010-08-01 11:49 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Auslogics
    2010-06-21 20:37 . 2010-06-21 20:37 200008 ----a-w- c:\windows\system32\oodbs.exe
    2010-06-21 20:32 . 2010-06-21 20:32 10056 ----a-w- c:\windows\system32\oodbsrs.dll
    .

    ------- Sigcheck -------

    [-] 2004-08-18 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys

    [-] 2006-07-05 . CE4AF1FA47A29ADF97CB107775CE395C . 1049088 . . [5.1.2600.2945] . . c:\windows\system32\kernel32.dll
    [-] 2006-07-05 . CE4AF1FA47A29ADF97CB107775CE395C . 1049088 . . [5.1.2600.2945] . . c:\windows\system32\dllcache\kernel32.dll

    [-] 2004-08-22 . 998F3F568F6074A35AB08CD3395A9DC2 . 1036288 . . [6.00.2900.2180] . . c:\windows\explorer.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-11-14 282624]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-08-13 98304]
    "amd_dc_opt"="c:\program files\AMD\amd_dc_opt\amd_dc_opt.exe" [2006-06-28 106496]
    "SoundMan"="SOUNDMAN.EXE" [2005-06-20 77824]
    "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "midi2"=KORGUMDD.DRV
    "midi3"=KORGUMDD.DRV

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\FreeCall.com\\FreeCall\\FreeCall.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "d:\\jeux\\steam\\SteamApps\\radzinskiss@hotmail.com\\counter-strike\\hl.exe"=

    R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [12/11/2007 23:05 5248]
    R0 SiWinAcc;SiWinAcc;c:\windows\system32\drivers\SiWinAcc.sys [16/11/2009 21:05 10240]
    R3 AmdTools;AMD Special Tools Driver;c:\windows\system32\drivers\AmdTools.sys [12/09/2009 22:39 31744]
    S2 Intelligent Transfer Service;Windows InstallService;c:\windows\system32\servtie.exe --> c:\windows\system32\servtie.exe [?]
    S3 1ac5;1ac5;c:\windows\system32\1ac5.sys [16/11/2009 22:42 54624]
    S3 ACSSCR;ACR38 Smart Card Reader;c:\windows\system32\drivers\a38usb.sys [15/12/2008 23:00 33536]
    S3 KORGUMDS;KORG USB-MIDI Driver for Windows XP;c:\windows\system32\drivers\KORGUMDS.SYS [20/12/2005 2:07 14976]
    S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [12/11/2007 23:05 160640]
    S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;"c:\program files\Lavasoft\Ad-Aware\AAWService.exe" --> c:\program files\Lavasoft\Ad-Aware\AAWService.exe [?]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-18 c:\windows\Tasks\User_Feed_Synchronization-{47160972-6823-427D-8927-55BAA19AA985}.job
    - c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = about:blank
    .

    **************************************************************************
    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés:

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1343024091-299502267-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
    @Denied: (2) (Administrator)
    "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9a,1c,88,f8,e3,ef,d3,44,9f,6a,94,\
    "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9a,1c,88,f8,e3,ef,d3,44,9f,6a,94,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{4722EE48-40E7-10C3-749F-74DFCE71B7CA}\InProcServer32*]
    "oabhajjcjkobfaikndpifbngojdbpf"=hex:6a,61,64,69,63,63,68,6b,65,61,67,62,6c,6d,
    6a,62,6a,6d,62,65,00,f9
    "nabhgjlkenekdmlokipjcbclobne"=hex:6a,61,64,69,63,63,68,6b,65,61,67,62,6c,6d,
    6a,62,6a,6d,62,65,00,f9

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F592A3F4-1E8F-F23D-181A-D5DEAD3CBB53}\InProcServer32*]
    "oafebebpjjkiebppncbphmbgibcoeb"=hex:6a,61,63,6c,6d,6f,69,69,6f,65,70,6b,65,62,
    67,70,6e,61,6d,6c,00,f9
    "nafeldhldindccjgoakbidlmbafl"=hex:6a,61,63,6c,6d,6f,69,69,6f,65,70,6b,65,62,
    67,70,6e,61,6d,6c,00,f9

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
    "OODEFRAG10.00.00.01WORKSTATION"="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"
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
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(688)
    c:\windows\system32\Ati2evxx.dll
    .
    Heure de fin: 2010-09-18 14:31:16

    Avant-CF: 17.225.613.312 octets libres
    Après-CF: 17.306.144.768 octets libres

    - - End Of File - - DF75427BE2A7C886DB4872D817153A26
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Il va falloir analyser un ou des fichier(s) suspect(s) !

    Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
    Il faut donc les rendre visibles pour le scan.

    Pour afficher les dossiers et fichiers cachés:

    Panneau de configuration > Options des dossiers > onglet Affichage.

    Coche Afficher les fichiers et dossiers cachés,
    Décoche Masquer les extensions de fichiers connus
    Décoche Masquer les fichiers protégés du Système.
    Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
    Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ces fichiers :
    c:\windows\system32\servtie.exe
    C:\WINDOWS\egcomp.ini


    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    0
  7. radradrad
     
    voilà j'ai fait tes manips mais ce fichier est introuvable, j'ai bien des fichiers transparents et j'ai bien regarder...
    c:\windows\system32\servtie.exe

    Pour
    C:\WINDOWS\egcomp.ini

    voila le lien

    http://www.virustotal.com/file-scan/report.html?id=51dbc939015fc24f936813f1faeba974e2c1b11b29239fb0dc3bb4cb8183f4c1-1284832895
    je ne sais pas comment copier le rapport...
    0
  8. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    > Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
    - Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

    Driver::
    onnh

    File::
    C:\WINDOWS\system32\drivers\onnh.sys


    - Enregistre ce fichier sous le nom CFScript
    - Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
    - Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    - Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    - Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
    - Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    ==========

    Clic droit dans ta barre de taches pour accéder au gestionnaire de taches puis regarde dans les services si tu trouve : Windows InstallService
    0
  9. radradrad
     
    Dans les services j'ai bien Windows InstallService

    Le rapport combofix:

    ComboFix 10-09-17.04 - Administrateur 18/09/2010 23:55:52.92.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3071.2486 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
    FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

    FILE ::
    "c:\windows\system32\drivers\onnh.sys"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\drivers\onnh.sys

    c:\windows\system32\drivers\cdrom.sys . . . manque!!

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-18 au 2010-09-18 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-16 20:04 . 2010-09-16 20:42 -------- d-----w- c:\program files\ewido anti-spyware 4.0
    2010-09-16 18:32 . 2010-09-16 18:32 94720 --sha-r- c:\windows\system32\chcpi.dll
    2010-09-16 16:51 . 2010-09-16 16:51 -------- d-----w- c:\program files\Peavey Electronics
    2010-09-15 18:57 . 2010-09-15 18:57 -------- d-----w- c:\windows\system32\wbem\Repository
    2010-08-25 20:30 . 2010-08-26 11:14 25992 ----a-w- c:\windows\system32\pgdfgsvc.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-18 19:57 . 2006-09-25 13:49 -------- d-----w- c:\program files\mIRC
    2010-09-18 19:31 . 2009-03-20 19:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Mumble
    2010-09-18 17:55 . 2010-09-18 17:56 1333248 ----a-w- c:\windows\Internet Logs\xDB10.tmp
    2010-09-18 17:51 . 2009-12-03 18:39 1405604 --sha-w- c:\windows\system32\drivers\fidbox.idx
    2010-09-18 17:51 . 2009-12-03 18:39 119633952 --sha-w- c:\windows\system32\drivers\fidbox.dat
    2010-09-18 17:46 . 2009-07-30 20:08 -------- d-----w- c:\program files\SopCast
    2010-09-18 15:58 . 2010-09-18 14:46 -------- d-----w- c:\program files\Veetle
    2010-09-18 11:45 . 2010-09-18 11:44 -------- d-----w- c:\program files\ZHPDiag
    2010-09-18 10:44 . 2010-09-18 10:46 93184 ----a-w- c:\windows\Internet Logs\xDBE.tmp
    2010-09-18 10:44 . 2010-09-18 10:46 1315328 ----a-w- c:\windows\Internet Logs\xDBF.tmp
    2010-09-17 21:10 . 2008-05-03 10:48 32 -c--a-w- c:\windows\msocreg32.dat
    2010-09-17 12:33 . 2010-09-17 12:43 1824768 ----a-w- c:\windows\Internet Logs\xDBC.tmp
    2010-09-17 12:33 . 2010-09-17 12:43 34304 ----a-w- c:\windows\Internet Logs\xDBB.tmp
    2010-09-17 12:25 . 2010-09-17 12:43 1824256 ----a-w- c:\windows\Internet Logs\xDBD.tmp
    2010-09-16 21:06 . 2010-05-13 10:06 6305401 ----a-w- c:\windows\Internet Logs\tvDebug.zip
    2010-09-16 20:19 . 2010-09-16 20:40 1785344 ----a-w- c:\windows\Internet Logs\xDBA.tmp
    2010-09-16 20:19 . 2010-09-16 20:40 2712064 ----a-w- c:\windows\Internet Logs\xDB9.tmp
    2010-09-16 18:55 . 2010-09-16 19:05 1777664 ----a-w- c:\windows\Internet Logs\xDB8.tmp
    2010-09-16 18:19 . 2007-10-06 16:50 -------- d-----w- c:\program files\eMule
    2010-09-15 18:56 . 2007-10-30 11:50 -------- d-----w- c:\program files\Feuvert
    2010-09-15 18:52 . 2008-10-19 11:05 -------- d-----w- c:\program files\Full Tilt Poker
    2010-09-15 18:52 . 2010-02-06 20:27 -------- d-----w- c:\program files\Mumble
    2010-09-15 13:10 . 2006-09-25 12:06 -------- d-----w- c:\documents and settings\Administrateur\Application Data\teamspeak2
    2010-09-10 18:51 . 2008-09-05 11:37 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Microgaming
    2010-08-29 20:11 . 2010-08-29 20:26 1731072 ----a-w- c:\windows\Internet Logs\xDB7.tmp
    2010-08-14 23:13 . 2010-08-15 10:16 1712640 ----a-w- c:\windows\Internet Logs\xDB6.tmp
    2010-08-11 20:04 . 2010-08-11 20:04 -------- d-----w- c:\program files\Auslogics
    2010-08-09 11:14 . 2010-08-09 11:23 514048 ----a-w- c:\windows\Internet Logs\xDB4.tmp
    2010-08-09 11:14 . 2010-08-09 11:23 1693696 ----a-w- c:\windows\Internet Logs\xDB5.tmp
    2010-08-06 19:13 . 2010-08-06 19:12 -------- d-----w- c:\documents and settings\Administrateur\Application Data\TS3Client
    2010-08-04 12:36 . 2010-08-04 12:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Overloud
    2010-08-01 11:49 . 2010-08-01 11:49 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Auslogics
    2010-06-21 20:37 . 2010-06-21 20:37 200008 ----a-w- c:\windows\system32\oodbs.exe
    2010-06-21 20:32 . 2010-06-21 20:32 10056 ----a-w- c:\windows\system32\oodbsrs.dll
    .

    ------- Sigcheck -------

    [-] 2004-08-18 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys

    [-] 2006-07-05 . CE4AF1FA47A29ADF97CB107775CE395C . 1049088 . . [5.1.2600.2945] . . c:\windows\system32\kernel32.dll
    [-] 2006-07-05 . CE4AF1FA47A29ADF97CB107775CE395C . 1049088 . . [5.1.2600.2945] . . c:\windows\system32\dllcache\kernel32.dll

    [-] 2004-08-22 . 998F3F568F6074A35AB08CD3395A9DC2 . 1036288 . . [6.00.2900.2180] . . c:\windows\explorer.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-11-14 282624]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-08-13 98304]
    "amd_dc_opt"="c:\program files\AMD\amd_dc_opt\amd_dc_opt.exe" [2006-06-28 106496]
    "SoundMan"="SOUNDMAN.EXE" [2005-06-20 77824]
    "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "midi2"=KORGUMDD.DRV
    "midi3"=KORGUMDD.DRV

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\FreeCall.com\\FreeCall\\FreeCall.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "d:\\jeux\\steam\\SteamApps\\radzinskiss@hotmail.com\\counter-strike\\hl.exe"=

    R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [12/11/2007 23:05 5248]
    R0 SiWinAcc;SiWinAcc;c:\windows\system32\drivers\SiWinAcc.sys [16/11/2009 21:05 10240]
    R3 AmdTools;AMD Special Tools Driver;c:\windows\system32\drivers\AmdTools.sys [12/09/2009 22:39 31744]
    S2 Intelligent Transfer Service;Windows InstallService;c:\windows\system32\servtie.exe --> c:\windows\system32\servtie.exe [?]
    S3 1ac5;1ac5;c:\windows\system32\1ac5.sys [16/11/2009 22:42 54624]
    S3 ACSSCR;ACR38 Smart Card Reader;c:\windows\system32\drivers\a38usb.sys [15/12/2008 23:00 33536]
    S3 KORGUMDS;KORG USB-MIDI Driver for Windows XP;c:\windows\system32\drivers\KORGUMDS.SYS [20/12/2005 2:07 14976]
    S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [12/11/2007 23:05 160640]
    S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;"c:\program files\Lavasoft\Ad-Aware\AAWService.exe" --> c:\program files\Lavasoft\Ad-Aware\AAWService.exe [?]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-18 c:\windows\Tasks\User_Feed_Synchronization-{47160972-6823-427D-8927-55BAA19AA985}.job
    - c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = about:blank
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-18 23:59
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1343024091-299502267-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
    @Denied: (2) (Administrator)
    "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9a,1c,88,f8,e3,ef,d3,44,9f,6a,94,\
    "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9a,1c,88,f8,e3,ef,d3,44,9f,6a,94,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{4722EE48-40E7-10C3-749F-74DFCE71B7CA}\InProcServer32*]
    "oabhajjcjkobfaikndpifbngojdbpf"=hex:6a,61,64,69,63,63,68,6b,65,61,67,62,6c,6d,
    6a,62,6a,6d,62,65,00,f9
    "nabhgjlkenekdmlokipjcbclobne"=hex:6a,61,64,69,63,63,68,6b,65,61,67,62,6c,6d,
    6a,62,6a,6d,62,65,00,f9

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F592A3F4-1E8F-F23D-181A-D5DEAD3CBB53}\InProcServer32*]
    "oafebebpjjkiebppncbphmbgibcoeb"=hex:6a,61,63,6c,6d,6f,69,69,6f,65,70,6b,65,62,
    67,70,6e,61,6d,6c,00,f9
    "nafeldhldindccjgoakbidlmbafl"=hex:6a,61,63,6c,6d,6f,69,69,6f,65,70,6b,65,62,
    67,70,6e,61,6d,6c,00,f9

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
    "OODEFRAG10.00.00.01WORKSTATION"="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"
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
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(692)
    c:\windows\system32\Ati2evxx.dll
    .
    Heure de fin: 2010-09-19 00:00:28

    Avant-CF: 17.009.934.336 octets libres
    Après-CF: 17.153.609.728 octets libres

    - - End Of File - - 56D47F61C928895E9C2844B538A655C3
    0