HELP PC infecté TR/Dldr.Tracur.B.171
Résolu
groeniche
Messages postés
56
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je vous écris depuis un autre PC que le grand malade infecté par (au moins) ce cheval de Troie. en référence. L'alerte Antivir due à ce cheval de Troie m'empêche d'accéder à internet (l'ouverture du browser enclenche directement l'alerte).
Ce PC a été infecté récemment pas un antispyware safeguard § problème résolu § mais pourrait il y avoir un lien entre ces deux trucs?
j'ai bien lu le doc word de recommandation, je suis donc prêt à vous suivre...
Merci pour votre aide
Je vous écris depuis un autre PC que le grand malade infecté par (au moins) ce cheval de Troie. en référence. L'alerte Antivir due à ce cheval de Troie m'empêche d'accéder à internet (l'ouverture du browser enclenche directement l'alerte).
Ce PC a été infecté récemment pas un antispyware safeguard § problème résolu § mais pourrait il y avoir un lien entre ces deux trucs?
j'ai bien lu le doc word de recommandation, je suis donc prêt à vous suivre...
Merci pour votre aide
A voir également:
- HELP PC infecté TR/Dldr.Tracur.B.171
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
82 réponses
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ok clavier branché, malware en full scan sans échec...Tu m'expliquerais bien pq le mode sans échec a déjà fonctionné avec le claiver sans fil port USb et que ta trouvaille de génie me permet de le faire maintenant? Je voudrais comprendre - mais tu es vraiment sensass'
bad news...Je viens de démarrer le pc en mode normal et malgré le scan en mode sans échec (résultat ci-dessous)le cheval de troie est tjrs là (dixit AntiVir au login). Toujours présent sur le même fichier...
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Database version: 4676
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.2180
24/09/2010 00:02:03
mbam-log-2010-09-24 (00-02-03).txt
Scan type: Full scan (C:\|D:\|)
Objects scanned: 204540
Time elapsed: 29 minute(s), 43 second(s)
Memory Processes Infected: 1
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 1
Memory Processes Infected:
C:\Documents and Settings\Proprietaire\Application Data\SysWin\lsass.exe (Trojan.Tracur) -> Unloaded process successfully.
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rthdbpl (Trojan.Tracur) -> Quarantined and deleted successfully.
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
C:\Documents and Settings\Proprietaire\Application Data\SysWin (Trojan.Agent) -> Quarantined and deleted successfully.
Files Infected:
C:\Documents and Settings\Proprietaire\Application Data\SysWin\lsass.exe (Trojan.Tracur) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Database version: 4676
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.2180
24/09/2010 00:02:03
mbam-log-2010-09-24 (00-02-03).txt
Scan type: Full scan (C:\|D:\|)
Objects scanned: 204540
Time elapsed: 29 minute(s), 43 second(s)
Memory Processes Infected: 1
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 1
Memory Processes Infected:
C:\Documents and Settings\Proprietaire\Application Data\SysWin\lsass.exe (Trojan.Tracur) -> Unloaded process successfully.
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rthdbpl (Trojan.Tracur) -> Quarantined and deleted successfully.
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
C:\Documents and Settings\Proprietaire\Application Data\SysWin (Trojan.Agent) -> Quarantined and deleted successfully.
Files Infected:
C:\Documents and Settings\Proprietaire\Application Data\SysWin\lsass.exe (Trojan.Tracur) -> Quarantined and deleted successfully.
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ Coche les 2 cases Lop et Purity
▶ Coche la case devant tous les utilisateurs
▶ règle age du fichier sur "60 jours"
▶ dans la moitié gauche , mets tout sur "tous"
ne modifie pas ceci :
"fichiers créés" et "fichiers Modifiés"
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ Coche les 2 cases Lop et Purity
▶ Coche la case devant tous les utilisateurs
▶ règle age du fichier sur "60 jours"
▶ dans la moitié gauche , mets tout sur "tous"
ne modifie pas ceci :
"fichiers créés" et "fichiers Modifiés"
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
Mille mercis pour ta patience. Voici les dux fichiers:
http://www.cijoint.fr/cjlink.php?file=cj201009/cijw29Fl8C.txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijT9SVHqo.txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijw29Fl8C.txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijT9SVHqo.txt
vire spybot il empeche les outils de bien travailler et il vaut rien
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Je t'écris depuis l'autre PC, Combo est en cours. 2 points:
1. il m'a demandé de charger la plateforme de récupération pour MS Windows, j'ai dit OK
2. Concernant la garde Antivirus et Antispywares: je suis obligé de la déconnecter parce que sinon Antivir détecte le trojan, bipe comme un fou et fait fermer le browser.
Est ce risqué de coller le rapport sur un USB et de te le transmettre depuis cet autre PC d'où je t'écris maintenant?
1. il m'a demandé de charger la plateforme de récupération pour MS Windows, j'ai dit OK
2. Concernant la garde Antivirus et Antispywares: je suis obligé de la déconnecter parce que sinon Antivir détecte le trojan, bipe comme un fou et fait fermer le browser.
Est ce risqué de coller le rapport sur un USB et de te le transmettre depuis cet autre PC d'où je t'écris maintenant?
si mais quand je réactive antivir comme tu le demandes, alors directement antivir détecte le trojan, en particulier quand j'ouvre le browser internet. Donc, comme Antivir le recommande je refuse l'accès, puis le browser se ferme. il fait ça avec d'autres applis, mais pricnipalement avec internet.
résultat: pour poster un rapport je suis obligé de le faire sans protection (je déconnecte antivir, puis je le éactive quand j'ai fini ma session internet)
Le voici:
ComboFix 10-09-24.03 - Proprietaire 25/09/2010 0:05.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1591 [GMT 2:00]
Lancé depuis: c:\documents and settings\Proprietaire\Bureau\Groeniche.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Administrateur\Application Data\0200000016a562411004C.manifest
c:\documents and settings\Administrateur\Application Data\0200000016a562411004O.manifest
c:\documents and settings\Administrateur\Application Data\0200000016a562411004P.manifest
c:\documents and settings\Administrateur\Application Data\0200000016a562411004S.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004C.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004O.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004P.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004S.manifest
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{19ff3adc-88d9-4685-9ab0-3fe7cc70e718}
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{19ff3adc-88d9-4685-9ab0-3fe7cc70e718}\chrome.manifest
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{19ff3adc-88d9-4685-9ab0-3fe7cc70e718}\chrome\xulcache.jar
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{19ff3adc-88d9-4685-9ab0-3fe7cc70e718}\defaults\preferences\xulcache.js
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{19ff3adc-88d9-4685-9ab0-3fe7cc70e718}\install.rdf
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{4b6374d7-a717-407a-b0ab-af4eca4c0a23}
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{4b6374d7-a717-407a-b0ab-af4eca4c0a23}\chrome.manifest
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{4b6374d7-a717-407a-b0ab-af4eca4c0a23}\chrome\xulcache.jar
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{4b6374d7-a717-407a-b0ab-af4eca4c0a23}\defaults\preferences\xulcache.js
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{4b6374d7-a717-407a-b0ab-af4eca4c0a23}\install.rdf
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{c7684307-692f-4fb1-a115-5349a575bd97}
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{c7684307-692f-4fb1-a115-5349a575bd97}\chrome.manifest
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{c7684307-692f-4fb1-a115-5349a575bd97}\chrome\xulcache.jar
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{c7684307-692f-4fb1-a115-5349a575bd97}\defaults\preferences\xulcache.js
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{c7684307-692f-4fb1-a115-5349a575bd97}\install.rdf
c:\documents and settings\Proprietaire\Application Data\syswin
c:\documents and settings\Proprietaire\Application Data\syswin\lsass.exe
c:\windows\system32\370054947
c:\windows\system32\DSOUND3D32.DLL
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-24 au 2010-09-24 ))))))))))))))))))))))))))))))))))))
.
2010-09-24 20:34 . 2010-09-24 20:34 316416 ----a-w- c:\windows\system32\dfsshlex32.dll
2010-09-23 12:29 . 2010-09-23 14:14 -------- d-----w- C:\Kill'em
2010-09-23 12:29 . 2010-09-23 14:31 -------- d-----w- c:\program files\List_Kill'em
2010-09-23 09:12 . 2010-09-24 21:51 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-09-23 09:12 . 2010-09-24 21:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-09-17 17:37 . 2010-09-17 17:37 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Malwarebytes
2010-09-17 17:06 . 2010-09-17 17:06 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-09-17 17:06 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-17 17:06 . 2010-09-23 17:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-17 17:06 . 2010-09-17 17:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-09-17 17:06 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-17 00:18 . 2010-09-17 00:18 -------- d-----w- c:\windows\system32\wbem\Repository
2010-09-16 20:59 . 2010-09-16 20:59 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Logitech
2010-09-16 20:56 . 2010-09-16 20:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Logitech
2010-09-16 20:56 . 2010-09-16 20:56 -------- d-----w- c:\program files\Logitech
2010-09-16 20:56 . 2010-09-17 00:44 -------- d-----w- c:\program files\Fichiers communs\Logitech
2010-09-15 17:34 . 2010-04-16 16:07 1510400 -c----w- c:\windows\system32\dllcache\shdocvw.dll
2010-09-15 17:34 . 2010-04-16 16:07 1025536 -c----w- c:\windows\system32\dllcache\browseui.dll
2010-09-15 03:02 . 2010-09-15 03:02 318464 ----a-w- c:\windows\system32\AudioVisu32.dll
2010-09-15 02:05 . 2010-09-15 02:05 318464 ----a-w- c:\windows\system32\CNCC81032.dll
2010-09-14 22:59 . 2010-09-14 22:59 318464 ----a-w- c:\windows\system32\FM20ENU32.dll
2010-09-12 00:11 . 2010-08-18 15:13 52224 ----a-w- c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\FFExternalAlert.dll
2010-09-12 00:11 . 2010-08-18 15:13 101376 ----a-w- c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\RadioWMPCore.dll
2010-09-11 23:04 . 2010-09-23 14:14 209408 ----a-w- c:\windows\system32\D3DX9_3832.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-24 21:52 . 2010-05-09 22:52 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\LimeWire
2010-09-24 20:38 . 2006-03-02 12:00 81626 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-24 20:38 . 2006-03-02 12:00 503656 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-22 20:42 . 2008-04-08 21:44 -------- d-----w- c:\program files\Google
2010-09-21 00:17 . 2008-12-09 17:22 -------- d-----w- c:\documents and settings\All Users\Application Data\pdf995
2010-09-21 00:17 . 2008-12-09 17:22 59 ----a-w- c:\windows\wpd99.drv
2010-09-17 00:44 . 2009-03-03 20:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-09-16 20:57 . 2010-09-16 20:57 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2010-09-16 20:57 . 2010-09-16 20:57 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-09-16 20:56 . 2008-04-07 19:30 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-09-15 01:55 . 2010-09-15 01:55 0 ---ha-w- c:\documents and settings\Proprietaire\Application Data\bpyczegojd.tmp
2010-09-13 14:38 . 2008-10-25 17:12 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Canon
2010-09-12 12:52 . 2008-06-26 18:22 75384 ----a-w- c:\documents and settings\Proprietaire\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-12 12:04 . 2010-09-12 12:04 1142272 --sha-w- c:\windows\system32\5.tmp
2010-09-12 01:20 . 2010-09-12 01:20 0 ---ha-w- c:\documents and settings\Proprietaire\bpyczegojd.tmp
2010-09-11 23:04 . 2010-09-11 23:04 1135616 --sha-w- c:\windows\system32\A4.tmp
2010-09-09 09:07 . 2008-10-04 20:20 -------- d-----w- c:\program files\Microsoft Silverlight
2010-08-25 14:04 . 2010-08-25 14:04 503808 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42e32ff3-n\msvcp71.dll
2010-08-25 14:04 . 2010-08-25 14:04 499712 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42e32ff3-n\jmc.dll
2010-08-25 14:04 . 2010-08-25 14:04 348160 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42e32ff3-n\msvcr71.dll
2010-08-25 14:04 . 2010-08-25 14:04 61440 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2b050792-n\decora-sse.dll
2010-08-25 14:04 . 2010-08-25 14:04 12800 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2b050792-n\decora-d3d.dll
2010-08-18 15:57 . 2010-05-14 14:55 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Skype
2010-08-18 15:57 . 2010-05-14 15:02 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\skypePM
2010-08-17 13:17 . 2006-03-02 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 2006-03-02 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-06-30 12:32 . 2006-03-02 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2008-05-28 19:43 . 2008-05-28 19:43 24 --sh--w- c:\windows\S2ECDAB82.tmp
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA32FB29-1909-E6DE-38AF-F069BC3B47BF}]
2010-09-23 14:14 209408 ----a-w- c:\windows\system32\D3DX9_3832.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-06-16 136176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]
"nwiz"="nwiz.exe" [2008-01-03 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-03 86016]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-03-21 69632]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Proprietaire\Menu D'marrer\Programmes\D'marrage\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2010-3-30 503808]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a43cf0441004]
2010-09-23 14:14 209408 ----a-w- c:\windows\system32\D3DX9_3832.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\D3DX9_3832.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [17/09/2009 17:48 108289]
S2 gupdate1ca16bfbc9436b8;Service Google Update (gupdate1ca16bfbc9436b8);c:\program files\Google\Update\GoogleUpdate.exe [06/08/2009 20:00 133104]
S3 jbridgep;jbridgep;\??\c:\docume~1\PROPRI~1\LOCALS~1\Temp\jbridgep.sys --> c:\docume~1\PROPRI~1\LOCALS~1\Temp\jbridgep.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
Contenu du dossier 'Tâches planifiées'
2010-09-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
2010-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-06 17:59]
2010-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-06 17:59]
2010-09-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-602162358-1647877149-839522115-1004Core.job
- c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-09-01 21:30]
2010-09-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-602162358-1647877149-839522115-1004UA.job
- c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-09-01 21:30]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} - hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab
FF - ProfilePath - c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
FF - component: c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\RadioWMPCore.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\documents and settings\Proprietaire\Application Data\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{116BA06F-5D9F-4B1E-88D1-84F1DEF992B6} - c:\windows\system32\dsound3d32.dll
WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)
HKCU-Run-Uniblue RegistryBooster 2009 - c:\program files\Uniblue\RegistryBooster\RegistryBooster.exe
HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe
HKLM-Explorer_Run-RTHDBPL - c:\documents and settings\Proprietaire\Application Data\SysWin\lsass.exe
**************************************************************************
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
RTHDBPL = c:\documents and settings\Proprietaire\Application Data\SysWin\lsass.exe???????????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés:
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-602162358-1647877149-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:db,11,1a,b9,62,49,e5,47,d9,97,22,57,f4,7a,df,53,2b,3a,0a,e9,28,df,c6,
9f,aa,b6,8a,27,03,c9,1f,74,ee,51,56,bd,70,38,24,0f,28,d8,d8,bc,73,a8,23,a0,\
"??"=hex:d5,ca,29,05,79,32,36,4d,92,58,b4,49,7f,2e,99,a3
[HKEY_USERS\S-1-5-21-602162358-1647877149-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:25,a3,c0,dc,d4,f7,ed,f6,db,2d,23,00,8b,79,09,27,f0,a0,3b,18,80,
ca,36,75,4c,f3,66,ec,07,ec,d2,e7,26,c1,c3,e6,c5,8c,cf,3f,2e,94,78,f5,0a,de,\
"rkeysecu"=hex:d4,d1,23,bc,ef,4f,77,98,14,f1,9b,4c,d8,49,eb,95
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\D3DX9_3832.dll
- - - - - - - > 'lsass.exe'(752)
c:\windows\system32\D3DX9_3832.dll
.
Heure de fin: 2010-09-25 00:08:05
ComboFix-quarantined-files.txt 2010-09-24 22:08
Avant-CF: 59 984 113 664 octets libres
Après-CF: 60 041 949 184 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Mode sans échec ccm"/fastdetect/safeboot:minimal/sos/bootlog /fastdetect
- - End Of File - - 93868ABD2F6612314E56FDFA6629E626
ComboFix 10-09-24.03 - Proprietaire 25/09/2010 0:05.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1591 [GMT 2:00]
Lancé depuis: c:\documents and settings\Proprietaire\Bureau\Groeniche.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Administrateur\Application Data\0200000016a562411004C.manifest
c:\documents and settings\Administrateur\Application Data\0200000016a562411004O.manifest
c:\documents and settings\Administrateur\Application Data\0200000016a562411004P.manifest
c:\documents and settings\Administrateur\Application Data\0200000016a562411004S.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004C.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004O.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004P.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004S.manifest
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{19ff3adc-88d9-4685-9ab0-3fe7cc70e718}
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{19ff3adc-88d9-4685-9ab0-3fe7cc70e718}\chrome.manifest
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{19ff3adc-88d9-4685-9ab0-3fe7cc70e718}\chrome\xulcache.jar
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{19ff3adc-88d9-4685-9ab0-3fe7cc70e718}\defaults\preferences\xulcache.js
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{19ff3adc-88d9-4685-9ab0-3fe7cc70e718}\install.rdf
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{4b6374d7-a717-407a-b0ab-af4eca4c0a23}
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{4b6374d7-a717-407a-b0ab-af4eca4c0a23}\chrome.manifest
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{4b6374d7-a717-407a-b0ab-af4eca4c0a23}\chrome\xulcache.jar
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{4b6374d7-a717-407a-b0ab-af4eca4c0a23}\defaults\preferences\xulcache.js
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{4b6374d7-a717-407a-b0ab-af4eca4c0a23}\install.rdf
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{c7684307-692f-4fb1-a115-5349a575bd97}
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{c7684307-692f-4fb1-a115-5349a575bd97}\chrome.manifest
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{c7684307-692f-4fb1-a115-5349a575bd97}\chrome\xulcache.jar
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{c7684307-692f-4fb1-a115-5349a575bd97}\defaults\preferences\xulcache.js
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{c7684307-692f-4fb1-a115-5349a575bd97}\install.rdf
c:\documents and settings\Proprietaire\Application Data\syswin
c:\documents and settings\Proprietaire\Application Data\syswin\lsass.exe
c:\windows\system32\370054947
c:\windows\system32\DSOUND3D32.DLL
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-24 au 2010-09-24 ))))))))))))))))))))))))))))))))))))
.
2010-09-24 20:34 . 2010-09-24 20:34 316416 ----a-w- c:\windows\system32\dfsshlex32.dll
2010-09-23 12:29 . 2010-09-23 14:14 -------- d-----w- C:\Kill'em
2010-09-23 12:29 . 2010-09-23 14:31 -------- d-----w- c:\program files\List_Kill'em
2010-09-23 09:12 . 2010-09-24 21:51 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-09-23 09:12 . 2010-09-24 21:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-09-17 17:37 . 2010-09-17 17:37 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Malwarebytes
2010-09-17 17:06 . 2010-09-17 17:06 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-09-17 17:06 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-17 17:06 . 2010-09-23 17:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-17 17:06 . 2010-09-17 17:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-09-17 17:06 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-17 00:18 . 2010-09-17 00:18 -------- d-----w- c:\windows\system32\wbem\Repository
2010-09-16 20:59 . 2010-09-16 20:59 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Logitech
2010-09-16 20:56 . 2010-09-16 20:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Logitech
2010-09-16 20:56 . 2010-09-16 20:56 -------- d-----w- c:\program files\Logitech
2010-09-16 20:56 . 2010-09-17 00:44 -------- d-----w- c:\program files\Fichiers communs\Logitech
2010-09-15 17:34 . 2010-04-16 16:07 1510400 -c----w- c:\windows\system32\dllcache\shdocvw.dll
2010-09-15 17:34 . 2010-04-16 16:07 1025536 -c----w- c:\windows\system32\dllcache\browseui.dll
2010-09-15 03:02 . 2010-09-15 03:02 318464 ----a-w- c:\windows\system32\AudioVisu32.dll
2010-09-15 02:05 . 2010-09-15 02:05 318464 ----a-w- c:\windows\system32\CNCC81032.dll
2010-09-14 22:59 . 2010-09-14 22:59 318464 ----a-w- c:\windows\system32\FM20ENU32.dll
2010-09-12 00:11 . 2010-08-18 15:13 52224 ----a-w- c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\FFExternalAlert.dll
2010-09-12 00:11 . 2010-08-18 15:13 101376 ----a-w- c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\RadioWMPCore.dll
2010-09-11 23:04 . 2010-09-23 14:14 209408 ----a-w- c:\windows\system32\D3DX9_3832.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-24 21:52 . 2010-05-09 22:52 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\LimeWire
2010-09-24 20:38 . 2006-03-02 12:00 81626 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-24 20:38 . 2006-03-02 12:00 503656 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-22 20:42 . 2008-04-08 21:44 -------- d-----w- c:\program files\Google
2010-09-21 00:17 . 2008-12-09 17:22 -------- d-----w- c:\documents and settings\All Users\Application Data\pdf995
2010-09-21 00:17 . 2008-12-09 17:22 59 ----a-w- c:\windows\wpd99.drv
2010-09-17 00:44 . 2009-03-03 20:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-09-16 20:57 . 2010-09-16 20:57 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2010-09-16 20:57 . 2010-09-16 20:57 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-09-16 20:56 . 2008-04-07 19:30 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-09-15 01:55 . 2010-09-15 01:55 0 ---ha-w- c:\documents and settings\Proprietaire\Application Data\bpyczegojd.tmp
2010-09-13 14:38 . 2008-10-25 17:12 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Canon
2010-09-12 12:52 . 2008-06-26 18:22 75384 ----a-w- c:\documents and settings\Proprietaire\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-12 12:04 . 2010-09-12 12:04 1142272 --sha-w- c:\windows\system32\5.tmp
2010-09-12 01:20 . 2010-09-12 01:20 0 ---ha-w- c:\documents and settings\Proprietaire\bpyczegojd.tmp
2010-09-11 23:04 . 2010-09-11 23:04 1135616 --sha-w- c:\windows\system32\A4.tmp
2010-09-09 09:07 . 2008-10-04 20:20 -------- d-----w- c:\program files\Microsoft Silverlight
2010-08-25 14:04 . 2010-08-25 14:04 503808 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42e32ff3-n\msvcp71.dll
2010-08-25 14:04 . 2010-08-25 14:04 499712 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42e32ff3-n\jmc.dll
2010-08-25 14:04 . 2010-08-25 14:04 348160 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42e32ff3-n\msvcr71.dll
2010-08-25 14:04 . 2010-08-25 14:04 61440 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2b050792-n\decora-sse.dll
2010-08-25 14:04 . 2010-08-25 14:04 12800 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2b050792-n\decora-d3d.dll
2010-08-18 15:57 . 2010-05-14 14:55 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Skype
2010-08-18 15:57 . 2010-05-14 15:02 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\skypePM
2010-08-17 13:17 . 2006-03-02 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 2006-03-02 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-06-30 12:32 . 2006-03-02 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2008-05-28 19:43 . 2008-05-28 19:43 24 --sh--w- c:\windows\S2ECDAB82.tmp
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA32FB29-1909-E6DE-38AF-F069BC3B47BF}]
2010-09-23 14:14 209408 ----a-w- c:\windows\system32\D3DX9_3832.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-06-16 136176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]
"nwiz"="nwiz.exe" [2008-01-03 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-03 86016]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-03-21 69632]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Proprietaire\Menu D'marrer\Programmes\D'marrage\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2010-3-30 503808]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a43cf0441004]
2010-09-23 14:14 209408 ----a-w- c:\windows\system32\D3DX9_3832.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\D3DX9_3832.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [17/09/2009 17:48 108289]
S2 gupdate1ca16bfbc9436b8;Service Google Update (gupdate1ca16bfbc9436b8);c:\program files\Google\Update\GoogleUpdate.exe [06/08/2009 20:00 133104]
S3 jbridgep;jbridgep;\??\c:\docume~1\PROPRI~1\LOCALS~1\Temp\jbridgep.sys --> c:\docume~1\PROPRI~1\LOCALS~1\Temp\jbridgep.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
Contenu du dossier 'Tâches planifiées'
2010-09-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
2010-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-06 17:59]
2010-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-06 17:59]
2010-09-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-602162358-1647877149-839522115-1004Core.job
- c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-09-01 21:30]
2010-09-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-602162358-1647877149-839522115-1004UA.job
- c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-09-01 21:30]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} - hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab
FF - ProfilePath - c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
FF - component: c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\RadioWMPCore.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\documents and settings\Proprietaire\Application Data\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{116BA06F-5D9F-4B1E-88D1-84F1DEF992B6} - c:\windows\system32\dsound3d32.dll
WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)
HKCU-Run-Uniblue RegistryBooster 2009 - c:\program files\Uniblue\RegistryBooster\RegistryBooster.exe
HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe
HKLM-Explorer_Run-RTHDBPL - c:\documents and settings\Proprietaire\Application Data\SysWin\lsass.exe
**************************************************************************
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
RTHDBPL = c:\documents and settings\Proprietaire\Application Data\SysWin\lsass.exe???????????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés:
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-602162358-1647877149-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:db,11,1a,b9,62,49,e5,47,d9,97,22,57,f4,7a,df,53,2b,3a,0a,e9,28,df,c6,
9f,aa,b6,8a,27,03,c9,1f,74,ee,51,56,bd,70,38,24,0f,28,d8,d8,bc,73,a8,23,a0,\
"??"=hex:d5,ca,29,05,79,32,36,4d,92,58,b4,49,7f,2e,99,a3
[HKEY_USERS\S-1-5-21-602162358-1647877149-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:25,a3,c0,dc,d4,f7,ed,f6,db,2d,23,00,8b,79,09,27,f0,a0,3b,18,80,
ca,36,75,4c,f3,66,ec,07,ec,d2,e7,26,c1,c3,e6,c5,8c,cf,3f,2e,94,78,f5,0a,de,\
"rkeysecu"=hex:d4,d1,23,bc,ef,4f,77,98,14,f1,9b,4c,d8,49,eb,95
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\D3DX9_3832.dll
- - - - - - - > 'lsass.exe'(752)
c:\windows\system32\D3DX9_3832.dll
.
Heure de fin: 2010-09-25 00:08:05
ComboFix-quarantined-files.txt 2010-09-24 22:08
Avant-CF: 59 984 113 664 octets libres
Après-CF: 60 041 949 184 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Mode sans échec ccm"/fastdetect/safeboot:minimal/sos/bootlog /fastdetect
- - End Of File - - 93868ABD2F6612314E56FDFA6629E626
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
File::
c:\windows\system32\dfsshlex32.dll
c:\windows\system32\D3DX9_3832.dll
c:\windows\wpd99.drv
c:\documents and settings\Proprietaire\Application Data\bpyczegojd.tmp
c:\windows\system32\A4.tmp
c:\windows\S2ECDAB82.tmp
Folder::
c:\program files\Spybot - Search & Destroy
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA32FB29-1909-E6DE-38AF-F069BC3B47BF}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a43cf0441004]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"RTHDBPL"=-
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
Voilà la suite. pour info: Combofix a rebooté le pc seul, et après le reboot j'ai désactivé antivir qui se lance automaiquement. Voici le rapport:
ComboFix 10-09-24.03 - Proprietaire 25/09/2010 1:07.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1554 [GMT 2:00]
Lancé depuis: c:\documents and settings\Proprietaire\Bureau\Groeniche.exe
Commutateurs utilisés :: c:\documents and settings\Proprietaire\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FILE ::
"c:\documents and settings\Proprietaire\Application Data\bpyczegojd.tmp"
"c:\windows\S2ECDAB82.tmp"
"c:\windows\system32\A4.tmp"
"c:\windows\system32\D3DX9_3832.dll"
"c:\windows\system32\dfsshlex32.dll"
"c:\windows\wpd99.drv"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Checks.100923-1113.log
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Checks.100923-1355.txt
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Checks.100923-1400.log
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Checks.100923-1400.txt
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Checks.100923-1427.txt
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Fixes.100923-1356.txt
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Fixes.100923-1357.txt
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Resident.log
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\ProcCache.sbc
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass1.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesdn.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinProlacop.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinWemonsh.zip
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004C.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004O.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004P.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004S.manifest
c:\documents and settings\Proprietaire\Application Data\bpyczegojd.tmp
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{39e82ee3-3dd2-498d-85e6-e2001c73d9ef}
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{39e82ee3-3dd2-498d-85e6-e2001c73d9ef}\chrome.manifest
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{39e82ee3-3dd2-498d-85e6-e2001c73d9ef}\chrome\xulcache.jar
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{39e82ee3-3dd2-498d-85e6-e2001c73d9ef}\defaults\preferences\xulcache.js
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{39e82ee3-3dd2-498d-85e6-e2001c73d9ef}\install.rdf
c:\documents and settings\Proprietaire\Application Data\syswin
c:\documents and settings\Proprietaire\Application Data\syswin\lsass.exe
c:\program files\Spybot - Search & Destroy
c:\program files\Spybot - Search & Destroy\advcheck.dll
c:\program files\Spybot - Search & Destroy\TeaTimer.exe
c:\windows\S2ECDAB82.tmp
c:\windows\system32\370054947
c:\windows\system32\A4.tmp
c:\windows\system32\D3DX9_3832.dll
c:\windows\system32\dfsshlex32.dll
c:\windows\system32\SysWoW32
c:\windows\system32\unrar.exe
c:\windows\wpd99.drv
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-24 au 2010-09-24 ))))))))))))))))))))))))))))))))))))
.
2010-09-24 22:52 . 2010-09-24 22:52 316416 ----a-w- c:\windows\system32\dxdiagn32.dll
2010-09-24 22:01 . 2010-09-24 22:08 -------- d-----w- C:\Groeniche
2010-09-23 12:29 . 2010-09-23 14:14 -------- d-----w- C:\Kill'em
2010-09-23 12:29 . 2010-09-23 14:31 -------- d-----w- c:\program files\List_Kill'em
2010-09-17 17:37 . 2010-09-17 17:37 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Malwarebytes
2010-09-17 17:06 . 2010-09-17 17:06 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-09-17 17:06 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-17 17:06 . 2010-09-23 17:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-17 17:06 . 2010-09-17 17:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-09-17 17:06 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-17 00:18 . 2010-09-17 00:18 -------- d-----w- c:\windows\system32\wbem\Repository
2010-09-16 20:59 . 2010-09-16 20:59 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Logitech
2010-09-16 20:56 . 2010-09-16 20:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Logitech
2010-09-16 20:56 . 2010-09-16 20:56 -------- d-----w- c:\program files\Logitech
2010-09-16 20:56 . 2010-09-17 00:44 -------- d-----w- c:\program files\Fichiers communs\Logitech
2010-09-15 17:34 . 2010-04-16 16:07 1510400 -c----w- c:\windows\system32\dllcache\shdocvw.dll
2010-09-15 17:34 . 2010-04-16 16:07 1025536 -c----w- c:\windows\system32\dllcache\browseui.dll
2010-09-15 03:02 . 2010-09-15 03:02 318464 ----a-w- c:\windows\system32\AudioVisu32.dll
2010-09-15 02:05 . 2010-09-15 02:05 318464 ----a-w- c:\windows\system32\CNCC81032.dll
2010-09-14 22:59 . 2010-09-14 22:59 318464 ----a-w- c:\windows\system32\FM20ENU32.dll
2010-09-12 00:11 . 2010-08-18 15:13 52224 ----a-w- c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\FFExternalAlert.dll
2010-09-12 00:11 . 2010-08-18 15:13 101376 ----a-w- c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\RadioWMPCore.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-24 23:10 . 2010-05-09 22:52 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\LimeWire
2010-09-24 22:52 . 2010-09-24 22:52 1094144 --sha-w- c:\windows\system32\1A.tmp
2010-09-24 20:38 . 2006-03-02 12:00 81626 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-24 20:38 . 2006-03-02 12:00 503656 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-22 20:42 . 2008-04-08 21:44 -------- d-----w- c:\program files\Google
2010-09-21 00:17 . 2008-12-09 17:22 -------- d-----w- c:\documents and settings\All Users\Application Data\pdf995
2010-09-17 00:44 . 2009-03-03 20:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-09-16 20:57 . 2010-09-16 20:57 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2010-09-16 20:57 . 2010-09-16 20:57 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-09-16 20:56 . 2008-04-07 19:30 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-09-13 14:38 . 2008-10-25 17:12 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Canon
2010-09-12 12:52 . 2008-06-26 18:22 75384 ----a-w- c:\documents and settings\Proprietaire\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-12 12:04 . 2010-09-12 12:04 1142272 --sha-w- c:\windows\system32\5.tmp
2010-09-12 01:20 . 2010-09-12 01:20 0 ---ha-w- c:\documents and settings\Proprietaire\bpyczegojd.tmp
2010-09-09 09:07 . 2008-10-04 20:20 -------- d-----w- c:\program files\Microsoft Silverlight
2010-08-25 14:04 . 2010-08-25 14:04 503808 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42e32ff3-n\msvcp71.dll
2010-08-25 14:04 . 2010-08-25 14:04 499712 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42e32ff3-n\jmc.dll
2010-08-25 14:04 . 2010-08-25 14:04 348160 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42e32ff3-n\msvcr71.dll
2010-08-25 14:04 . 2010-08-25 14:04 61440 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2b050792-n\decora-sse.dll
2010-08-25 14:04 . 2010-08-25 14:04 12800 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2b050792-n\decora-d3d.dll
2010-08-18 15:57 . 2010-05-14 14:55 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Skype
2010-08-18 15:57 . 2010-05-14 15:02 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\skypePM
2010-08-17 13:17 . 2006-03-02 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 2006-03-02 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-06-30 12:32 . 2006-03-02 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-09-24_22.07.20 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-24 23:10 . 2010-09-24 23:10 16384 c:\windows\temp\Perflib_Perfdata_494.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{116BA06F-5D9F-4B1E-88D1-84F1DEF992B6}]
2010-09-24 22:52 316416 ----a-w- c:\windows\system32\dxdiagn32.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-06-16 136176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]
"nwiz"="nwiz.exe" [2008-01-03 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-03 86016]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-03-21 69632]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"RTHDBPL"="c:\documents and settings\Proprietaire\Application Data\SysWin\lsass.exe" [BU]
c:\documents and settings\Proprietaire\Menu D'marrer\Programmes\D'marrage\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2010-3-30 503808]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [17/09/2009 17:48 108289]
S2 gupdate1ca16bfbc9436b8;Service Google Update (gupdate1ca16bfbc9436b8);c:\program files\Google\Update\GoogleUpdate.exe [06/08/2009 20:00 133104]
S3 jbridgep;jbridgep;\??\c:\docume~1\PROPRI~1\LOCALS~1\Temp\jbridgep.sys --> c:\docume~1\PROPRI~1\LOCALS~1\Temp\jbridgep.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
Contenu du dossier 'Tâches planifiées'
2010-09-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
2010-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-06 17:59]
2010-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-06 17:59]
2010-09-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-602162358-1647877149-839522115-1004Core.job
- c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-09-01 21:30]
2010-09-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-602162358-1647877149-839522115-1004UA.job
- c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-09-01 21:30]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} - hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab
FF - ProfilePath - c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
FF - component: c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\RadioWMPCore.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{B42DAD6F-BCFB-8829-6CE9-62D8C637A3D5} - c:\windows\system32\D3DX9_3832.dll
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-25 01:10
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
RTHDBPL = c:\documents and settings\Proprietaire\Application Data\SysWin\lsass.exe???????????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-602162358-1647877149-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:db,11,1a,b9,62,49,e5,47,d9,97,22,57,f4,7a,df,53,2b,3a,0a,e9,28,df,c6,
9f,aa,b6,8a,27,03,c9,1f,74,ee,51,56,bd,70,38,24,0f,28,d8,d8,bc,73,a8,23,a0,\
"??"=hex:d5,ca,29,05,79,32,36,4d,92,58,b4,49,7f,2e,99,a3
[HKEY_USERS\S-1-5-21-602162358-1647877149-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:25,a3,c0,dc,d4,f7,ed,f6,db,2d,23,00,8b,79,09,27,f0,a0,3b,18,80,
ca,36,75,4c,f3,66,ec,07,ec,d2,e7,26,c1,c3,e6,c5,8c,cf,3f,2e,94,78,f5,0a,de,\
"rkeysecu"=hex:d4,d1,23,bc,ef,4f,77,98,14,f1,9b,4c,d8,49,eb,95
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3812)
c:\program files\ScanSoft\OmniPageSE4.0\OpHookSE4.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\PnkBstrB.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-09-25 01:13:50 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-24 23:13
ComboFix2.txt 2010-09-24 22:08
Avant-CF: 60 055 384 064 octets libres
Après-CF: 60 038 742 016 octets libres
- - End Of File - - 237966FF701AE5D8D96199685434591B
ComboFix 10-09-24.03 - Proprietaire 25/09/2010 1:07.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1554 [GMT 2:00]
Lancé depuis: c:\documents and settings\Proprietaire\Bureau\Groeniche.exe
Commutateurs utilisés :: c:\documents and settings\Proprietaire\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FILE ::
"c:\documents and settings\Proprietaire\Application Data\bpyczegojd.tmp"
"c:\windows\S2ECDAB82.tmp"
"c:\windows\system32\A4.tmp"
"c:\windows\system32\D3DX9_3832.dll"
"c:\windows\system32\dfsshlex32.dll"
"c:\windows\wpd99.drv"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Checks.100923-1113.log
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Checks.100923-1355.txt
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Checks.100923-1400.log
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Checks.100923-1400.txt
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Checks.100923-1427.txt
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Fixes.100923-1356.txt
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Fixes.100923-1357.txt
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Logs\Resident.log
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\ProcCache.sbc
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass1.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesdn.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinProlacop.zip
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinWemonsh.zip
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004C.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004O.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004P.manifest
c:\documents and settings\Proprietaire\Application Data\0200000016a562411004S.manifest
c:\documents and settings\Proprietaire\Application Data\bpyczegojd.tmp
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{39e82ee3-3dd2-498d-85e6-e2001c73d9ef}
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{39e82ee3-3dd2-498d-85e6-e2001c73d9ef}\chrome.manifest
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{39e82ee3-3dd2-498d-85e6-e2001c73d9ef}\chrome\xulcache.jar
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{39e82ee3-3dd2-498d-85e6-e2001c73d9ef}\defaults\preferences\xulcache.js
c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{39e82ee3-3dd2-498d-85e6-e2001c73d9ef}\install.rdf
c:\documents and settings\Proprietaire\Application Data\syswin
c:\documents and settings\Proprietaire\Application Data\syswin\lsass.exe
c:\program files\Spybot - Search & Destroy
c:\program files\Spybot - Search & Destroy\advcheck.dll
c:\program files\Spybot - Search & Destroy\TeaTimer.exe
c:\windows\S2ECDAB82.tmp
c:\windows\system32\370054947
c:\windows\system32\A4.tmp
c:\windows\system32\D3DX9_3832.dll
c:\windows\system32\dfsshlex32.dll
c:\windows\system32\SysWoW32
c:\windows\system32\unrar.exe
c:\windows\wpd99.drv
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-24 au 2010-09-24 ))))))))))))))))))))))))))))))))))))
.
2010-09-24 22:52 . 2010-09-24 22:52 316416 ----a-w- c:\windows\system32\dxdiagn32.dll
2010-09-24 22:01 . 2010-09-24 22:08 -------- d-----w- C:\Groeniche
2010-09-23 12:29 . 2010-09-23 14:14 -------- d-----w- C:\Kill'em
2010-09-23 12:29 . 2010-09-23 14:31 -------- d-----w- c:\program files\List_Kill'em
2010-09-17 17:37 . 2010-09-17 17:37 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Malwarebytes
2010-09-17 17:06 . 2010-09-17 17:06 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-09-17 17:06 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-17 17:06 . 2010-09-23 17:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-17 17:06 . 2010-09-17 17:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-09-17 17:06 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-17 00:18 . 2010-09-17 00:18 -------- d-----w- c:\windows\system32\wbem\Repository
2010-09-16 20:59 . 2010-09-16 20:59 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Logitech
2010-09-16 20:56 . 2010-09-16 20:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Logitech
2010-09-16 20:56 . 2010-09-16 20:56 -------- d-----w- c:\program files\Logitech
2010-09-16 20:56 . 2010-09-17 00:44 -------- d-----w- c:\program files\Fichiers communs\Logitech
2010-09-15 17:34 . 2010-04-16 16:07 1510400 -c----w- c:\windows\system32\dllcache\shdocvw.dll
2010-09-15 17:34 . 2010-04-16 16:07 1025536 -c----w- c:\windows\system32\dllcache\browseui.dll
2010-09-15 03:02 . 2010-09-15 03:02 318464 ----a-w- c:\windows\system32\AudioVisu32.dll
2010-09-15 02:05 . 2010-09-15 02:05 318464 ----a-w- c:\windows\system32\CNCC81032.dll
2010-09-14 22:59 . 2010-09-14 22:59 318464 ----a-w- c:\windows\system32\FM20ENU32.dll
2010-09-12 00:11 . 2010-08-18 15:13 52224 ----a-w- c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\FFExternalAlert.dll
2010-09-12 00:11 . 2010-08-18 15:13 101376 ----a-w- c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\RadioWMPCore.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-24 23:10 . 2010-05-09 22:52 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\LimeWire
2010-09-24 22:52 . 2010-09-24 22:52 1094144 --sha-w- c:\windows\system32\1A.tmp
2010-09-24 20:38 . 2006-03-02 12:00 81626 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-24 20:38 . 2006-03-02 12:00 503656 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-22 20:42 . 2008-04-08 21:44 -------- d-----w- c:\program files\Google
2010-09-21 00:17 . 2008-12-09 17:22 -------- d-----w- c:\documents and settings\All Users\Application Data\pdf995
2010-09-17 00:44 . 2009-03-03 20:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-09-16 20:57 . 2010-09-16 20:57 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2010-09-16 20:57 . 2010-09-16 20:57 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-09-16 20:56 . 2008-04-07 19:30 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-09-13 14:38 . 2008-10-25 17:12 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Canon
2010-09-12 12:52 . 2008-06-26 18:22 75384 ----a-w- c:\documents and settings\Proprietaire\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-12 12:04 . 2010-09-12 12:04 1142272 --sha-w- c:\windows\system32\5.tmp
2010-09-12 01:20 . 2010-09-12 01:20 0 ---ha-w- c:\documents and settings\Proprietaire\bpyczegojd.tmp
2010-09-09 09:07 . 2008-10-04 20:20 -------- d-----w- c:\program files\Microsoft Silverlight
2010-08-25 14:04 . 2010-08-25 14:04 503808 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42e32ff3-n\msvcp71.dll
2010-08-25 14:04 . 2010-08-25 14:04 499712 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42e32ff3-n\jmc.dll
2010-08-25 14:04 . 2010-08-25 14:04 348160 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42e32ff3-n\msvcr71.dll
2010-08-25 14:04 . 2010-08-25 14:04 61440 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2b050792-n\decora-sse.dll
2010-08-25 14:04 . 2010-08-25 14:04 12800 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2b050792-n\decora-d3d.dll
2010-08-18 15:57 . 2010-05-14 14:55 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Skype
2010-08-18 15:57 . 2010-05-14 15:02 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\skypePM
2010-08-17 13:17 . 2006-03-02 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 2006-03-02 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-06-30 12:32 . 2006-03-02 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-09-24_22.07.20 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-24 23:10 . 2010-09-24 23:10 16384 c:\windows\temp\Perflib_Perfdata_494.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{116BA06F-5D9F-4B1E-88D1-84F1DEF992B6}]
2010-09-24 22:52 316416 ----a-w- c:\windows\system32\dxdiagn32.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-06-16 136176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]
"nwiz"="nwiz.exe" [2008-01-03 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-03 86016]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-03-21 69632]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"RTHDBPL"="c:\documents and settings\Proprietaire\Application Data\SysWin\lsass.exe" [BU]
c:\documents and settings\Proprietaire\Menu D'marrer\Programmes\D'marrage\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2010-3-30 503808]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [17/09/2009 17:48 108289]
S2 gupdate1ca16bfbc9436b8;Service Google Update (gupdate1ca16bfbc9436b8);c:\program files\Google\Update\GoogleUpdate.exe [06/08/2009 20:00 133104]
S3 jbridgep;jbridgep;\??\c:\docume~1\PROPRI~1\LOCALS~1\Temp\jbridgep.sys --> c:\docume~1\PROPRI~1\LOCALS~1\Temp\jbridgep.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
Contenu du dossier 'Tâches planifiées'
2010-09-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
2010-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-06 17:59]
2010-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-06 17:59]
2010-09-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-602162358-1647877149-839522115-1004Core.job
- c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-09-01 21:30]
2010-09-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-602162358-1647877149-839522115-1004UA.job
- c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-09-01 21:30]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} - hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab
FF - ProfilePath - c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
FF - component: c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\Proprietaire\Application Data\Mozilla\Firefox\Profiles\4sb7rl5k.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\RadioWMPCore.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{B42DAD6F-BCFB-8829-6CE9-62D8C637A3D5} - c:\windows\system32\D3DX9_3832.dll
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-25 01:10
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
RTHDBPL = c:\documents and settings\Proprietaire\Application Data\SysWin\lsass.exe???????????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-602162358-1647877149-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:db,11,1a,b9,62,49,e5,47,d9,97,22,57,f4,7a,df,53,2b,3a,0a,e9,28,df,c6,
9f,aa,b6,8a,27,03,c9,1f,74,ee,51,56,bd,70,38,24,0f,28,d8,d8,bc,73,a8,23,a0,\
"??"=hex:d5,ca,29,05,79,32,36,4d,92,58,b4,49,7f,2e,99,a3
[HKEY_USERS\S-1-5-21-602162358-1647877149-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:25,a3,c0,dc,d4,f7,ed,f6,db,2d,23,00,8b,79,09,27,f0,a0,3b,18,80,
ca,36,75,4c,f3,66,ec,07,ec,d2,e7,26,c1,c3,e6,c5,8c,cf,3f,2e,94,78,f5,0a,de,\
"rkeysecu"=hex:d4,d1,23,bc,ef,4f,77,98,14,f1,9b,4c,d8,49,eb,95
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3812)
c:\program files\ScanSoft\OmniPageSE4.0\OpHookSE4.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\PnkBstrB.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-09-25 01:13:50 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-24 23:13
ComboFix2.txt 2010-09-24 22:08
Avant-CF: 60 055 384 064 octets libres
Après-CF: 60 038 742 016 octets libres
- - End Of File - - 237966FF701AE5D8D96199685434591B
▶ Télécharge Dr Web CureIt sur ton Bureau :
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
Salut
Je suis sur l'autre pc; un prob: en mode sans échec, Dr Web CureIt n'apparaît pas. D'ailleurs pas moyen de changer la police et la réso mais c'est sans importance. Est ce que je vais trouver ailleurs Web Curelt ailleurs ou est ce que je démarre normalement? Désolé de ne pas savoir ce que je dois faire et de te solliciter sans cesse
Je suis sur l'autre pc; un prob: en mode sans échec, Dr Web CureIt n'apparaît pas. D'ailleurs pas moyen de changer la police et la réso mais c'est sans importance. Est ce que je vais trouver ailleurs Web Curelt ailleurs ou est ce que je démarre normalement? Désolé de ne pas savoir ce que je dois faire et de te solliciter sans cesse