Probleme avec un rootkit sur vista

kiycarus -  
 gen-hackman -
Bonjour, avast m'annonce un srvices cache qui bloque l'acce internet et le gestionnaire de tache sur un de mes compte utilisateur que faire ?
avast me dit ; c:windows\systeme32\drivers\kvjggk.sys
type:services cachees
malware:wi merci beaucoup d'avance

3 réponses

  1. gen-hackman
     
    salut :

    sauvegarde ton travail puis


    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    ________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    1
  2. gen-hackman
     
    1/...

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    * * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

    c:\windows\System32\Qflnejg.dll

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

    =======================================
    2/....


    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    Driver::
    kvjtggk

    Rootkit::
    C:\Windows\System32\Drivers\kvjtggk.sys


    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    ==============================

    3/.....

    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    ================

    4/......

    desinstalle AD-Remover par son interface
    1
  3. kidycarus Messages postés 12 Statut Membre
     
    voici le rapport!!
    ComboFix 10-09-23.01 - kidycarus 24/09/2010 0:27.1.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3070.1797 [GMT 2:00]
    Lancé depuis: c:\users\kidycarus\Downloads\evel.exe
    AV: avast! antivirus 4.8.1229 [VPS 081122-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    SP: avast! antivirus 4.8.1229 [VPS 081122-0] *enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\program files\DosPop
    c:\program files\Eorezo
    c:\program files\Eorezo\EoRezoBHO.dll
    c:\program files\Search Settings
    c:\program files\Search Settings\kb127\SearchSettingsRes409.dll
    c:\program files\Search Settings\SearchSettings.exe
    c:\programdata\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
    c:\programdata\HotbarSA
    c:\programdata\HotbarSA\HotbarSA.dat
    c:\programdata\HotbarSA\HotbarSA_hpk.dat
    c:\programdata\HotbarSA\HotbarSA_kyf.dat
    c:\programdata\HotbarSA\HotbarSAAbout.mht
    c:\programdata\HotbarSA\HotbarSAau.dat
    c:\programdata\HotbarSA\HotbarSAEULA.mht
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\About Hotbar.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Customer Support Center.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Games!.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Uninstall Instructions.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Videos!.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Reset Cursor.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Weather.lnk
    c:\programdata\Software Licensors
    c:\users\kidycarus\AppData\Roaming\hotfix.exe
    c:\users\kidycarus\AppData\Roaming\Microsoft\Windows\Recent\Emu-Compatibility.url
    c:\users\kidycarus\AppData\Roaming\Microsoft\Windows\Recent\Les jeux vidéo 24 heures sur 24, 7 jours sur 7 - Accueil - www.jv247.com.url
    c:\windows\Downloaded Program Files\f3initialsetup1.0.1.0.inf
    c:\windows\host32.exe
    c:\windows\localsys64.exe
    c:\windows\system32\64dlls.exe
    c:\windows\system32\intel64.exe
    c:\windows\system32\lsjdfh.exe
    c:\windows\system32\ntos.exe
    c:\windows\system32\oembios.exe
    c:\windows\system32\sdra64.exe
    c:\windows\system32\sdra73.exe
    c:\windows\system32\swin32.exe
    c:\windows\system32\twex.exe
    c:\windows\system32\twext.exe
    c:\windows\system32\wsnpoema.exe
    D:\resycled

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-23 au 2010-09-23 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-23 23:00 . 2010-09-23 23:00 -------- d-----w- c:\users\Mcx1\AppData\Local\temp
    2010-09-23 23:00 . 2010-09-23 23:00 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-09-23 23:00 . 2010-09-23 23:00 -------- d-----w- c:\users\muriel\AppData\Local\temp
    2010-09-21 22:42 . 2010-09-21 22:55 -------- d-----w- c:\program files\Ootake
    2010-09-19 02:45 . 2010-09-19 02:45 511664 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbE29D.tmp.exe
    2010-09-15 23:54 . 2010-09-15 23:54 -------- d-----w- c:\users\kidycarus\AppData\Roaming\Uniblue
    2010-09-15 21:19 . 2010-09-15 21:19 -------- d-----w- c:\windows\system32\wbem\en-US
    2010-09-15 15:54 . 2010-09-15 15:56 -------- d-----w- c:\users\kidycarus\AppData\Roaming\Audacity
    2010-09-15 15:54 . 2010-09-15 15:54 -------- d-----w- c:\program files\Audacity 1.3 Beta (Unicode)
    2010-09-15 15:53 . 2010-09-15 15:53 -------- d-----w- c:\users\kidycarus\AppData\Local\networker
    2010-09-15 15:53 . 2010-09-15 15:53 -------- d-----w- c:\users\kidycarus\AppData\Local\assembly
    2010-09-15 15:53 . 2010-09-15 15:53 -------- d-----w- c:\program files\InstallPedia
    2010-09-15 15:53 . 2010-09-14 09:57 11264 ------w- c:\windows\system32\Utils.dll
    2010-09-15 15:53 . 2010-09-14 09:57 197632 ------w- c:\windows\system32\Ionic.Zip.Reduced.dll
    2010-09-15 15:00 . 2010-09-15 15:00 -------- d-----w- c:\users\kidycarus\AppData\Roaming\MAGIX
    2010-09-15 14:59 . 2010-09-15 14:59 -------- d-----w- c:\users\kidycarus\AppData\Local\Xara
    2010-09-15 14:56 . 2010-09-19 22:29 -------- d-----w- c:\programdata\MAGIX
    2010-09-15 14:55 . 2010-09-19 22:30 -------- d-----w- c:\program files\MAGIX
    2010-09-15 14:55 . 2007-04-27 07:43 120200 ----a-w- c:\windows\system32\DLLDEV32i.dll
    2010-09-15 14:55 . 2010-09-15 15:30 -------- d-----w- c:\program files\Common Files\MAGIX Services
    2010-09-15 05:03 . 2010-04-16 16:46 502272 ----a-w- c:\windows\system32\usp10.dll
    2010-09-15 05:03 . 2010-08-17 14:11 128000 ----a-w- c:\windows\system32\spoolsv.exe
    2010-09-15 05:03 . 2010-04-05 17:02 317952 ----a-w- c:\windows\system32\MP4SDECD.DLL
    2010-09-15 05:02 . 2010-05-27 20:08 739328 ----a-w- c:\windows\system32\inetcomm.dll
    2010-08-29 21:51 . 2010-08-29 21:51 -------- d-----w- c:\users\kidycarus\AppData\Roaming\runic games
    2010-08-29 21:44 . 2010-08-29 21:44 65024 ----a-r- c:\users\kidycarus\AppData\Roaming\Microsoft\Installer\{4F64A46D-67F7-4497-AEA2-313D4305A5F6}\Icon4F64A46D.exe
    2010-08-29 21:44 . 2010-08-29 21:44 35328 ----a-r- c:\users\kidycarus\AppData\Roaming\Microsoft\Installer\{4F64A46D-67F7-4497-AEA2-313D4305A5F6}\Icon4F64A46D1.exe
    2010-08-29 21:43 . 2010-08-29 21:43 -------- d-----w- c:\program files\JoWooD

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-23 18:40 . 2008-08-09 08:39 -------- d-----w- c:\programdata\Google Updater
    2010-09-22 21:30 . 2009-02-03 21:47 92536 ----a-w- c:\users\muriel\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-09-22 15:17 . 2008-08-16 05:21 -------- d-----w- c:\program files\BitTorrent Fastest Tool
    2010-09-22 14:46 . 2009-04-04 22:41 117760 ----a-w- c:\users\kidycarus\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
    2010-09-20 23:47 . 2009-03-19 18:19 -------- d-----w- c:\program files\RomStation
    2010-08-13 13:29 . 2008-05-26 06:06 -------- d-----w- c:\program files\Common Files\Java
    2010-08-13 13:28 . 2008-05-26 06:06 -------- d-----w- c:\program files\Java
    2010-08-13 01:03 . 2008-08-01 15:42 -------- d-----w- c:\program files\Microsoft Works
    2010-08-10 14:49 . 2010-08-10 14:46 -------- d-----w- c:\program files\Common Files\Real
    2010-08-10 14:49 . 2010-08-10 14:46 -------- d-----w- c:\program files\Real
    2010-08-10 14:45 . 2008-08-09 08:39 -------- d-----w- c:\program files\Google
    2010-07-30 20:43 . 2008-05-26 05:55 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-07-30 20:41 . 2009-12-02 22:31 -------- d-----w- c:\program files\Cyanide
    2010-07-30 20:41 . 2010-05-14 13:23 -------- d-----w- c:\program files\AutocompletePro
    2010-07-17 03:00 . 2010-05-13 13:27 423656 ----a-w- c:\windows\system32\deployJava1.dll
    2010-06-26 01:03 . 2008-05-26 15:36 678804 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-26 01:03 . 2008-05-26 15:36 141048 ----a-w- c:\windows\system32\perfc00C.dat
    2008-08-15 01:54 . 2008-08-14 06:07 88 --sha-r- c:\windows\System32\F335A8B2B6.sys
    2008-08-15 01:55 . 2008-08-14 06:07 2672 --sha-w- c:\windows\System32\KGyGaAvL.sys
    2009-10-05 18:13 . 2009-10-05 18:13 134656 --sha-r- c:\windows\System32\Qflnejg.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
    "RunSpySweeperScheduleAtStartup"="c:\windows\system32\msfeedssync.exe" [2010-08-31 10240]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-09 39408]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "RtHDVCpl"="RtHDVCpl.exe" [2008-07-03 6266880]
    "hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
    "KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-10 30192]
    "ISTray"="c:\program files\Spyware Doctor\pctsTray.exe" [2008-12-08 1173384]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
    "lxdnmon.exe"="c:\program files\Lexmark 2600 Series\lxdnmon.exe" [2008-03-27 660136]
    "lxdnamon"="c:\program files\Lexmark 2600 Series\lxdnamon.exe" [2008-03-27 16040]
    "FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2008-03-27 320168]
    "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
    "ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
    "IP Network"="c:\program files\InstallPedia\lnetworker.exe" [2010-09-14 7168]

    c:\users\kidycarus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    Notification de cadeaux MSN.lnk - c:\users\kidycarus\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-5-18 135680]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)
    "HideFastUserSwitching"= 0 (0x0)

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    2009-01-07 16:41 356352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~3\GoogleDesktopNetwork3.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
    @=""

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
    @=""

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 135664]
    R2 IP netservices;service de mise a jour pour IP networker;c:\program files\InstallPedia\service.exe [2010-09-14 8192]
    R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-08-10 30192]
    R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-06-03 2862428]
    R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
    R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2008-09-03 7408]
    R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys [2006-12-20 217600]
    R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
    R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-08-21 721904]
    S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2009-04-03 130936]
    S1 aswSP;avast! Self Protection; [x]
    S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2009-03-31 9968]
    S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2009-08-21 74480]
    S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-02-05 51792]
    S2 lxdn_device;lxdn_device;c:\windows\system32\lxdncoms.exe [2008-02-27 594600]
    S2 lxdnCATSCustConnectService;lxdnCATSCustConnectService;c:\windows\system32\spool\DRIVERS\W32X86\3\\lxdnserv.exe [2008-02-27 98984]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - kvjtggk

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    ezSharedSvc
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-23 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-09 17:39]

    2010-09-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 17:41]

    2010-09-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 17:41]

    2010-09-07 c:\windows\Tasks\HPCeeScheduleForkidycarus.job
    - c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-05-26 18:03]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = www.orange.fr
    mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cndt
    IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar\resources\fr-FR\local\search.html
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2D06158FAC79A790.dll/cmsidewiki.html
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-ISUSPM Startup - c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe
    HKCU-Run-BitComet - c:\program files\BitComet\BitComet.exe
    HKCU-Run-lphcgb0j0etat - c:\windows\system32\lphcgb0j0etat.exe
    HKCU-Run-RegistryBooster - c:\program files\Uniblue\RegistryBooster\launcher.exe
    HKLM-Run-HP Health Check Scheduler - [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
    HKLM-Run-SearchSettings - c:\program files\Search Settings\SearchSettings.exe
    HKLM-Run-PAC7302_Monitor - c:\windows\PixArt\PAC7302\Monitor.exe
    HKLM-Run-SymLnch - c:\program files\Common Files\Symantec Shared\SymSetup\{C1C185CA-C531-49F5-A6FA-B838405A049D}_15_5_0_23\Support\SymLnch\SymLnch.exe
    HKLM-Run-ruxwajbviqjtoas - c:\windows\system32\rdfoaxicxca.dll
    HKLM-Run-EoEngine - (no file)
    HKLM-Run-eorezo - (no file)
    AddRemove-wccfiekxzwfwe - c:\windows\system32\wccfiekxzwfwe.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-24 01:01
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
    "ImagePath"="c:\windows\system32\GameMon.des -service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvjtggk]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-3376712678-2798755542-3062604384-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
    @Allowed: (Read) (RestrictedCode)
    "??"=hex:e0,14,d2,c7,7f,e5,1d,53,10,e8,88,e7,9f,d7,f6,7f,99,42,9a,68,07,e1,9d,
    01,ef,ba,fb,46,dd,34,86,00,16,0c,02,cd,de,70,92,ef,ea,09,71,8b,dd,7b,7e,60,\
    "??"=hex:d5,ca,29,05,79,32,36,4d,92,58,b4,49,7f,2e,99,a3

    [HKEY_USERS\S-1-5-21-3376712678-2798755542-3062604384-1000\Software\SecuROM\License information*]
    @Allowed: (Read) (RestrictedCode)
    "datasecu"=hex:4f,b7,b7,c8,02,1e,97,a5,2d,24,bc,6a,a5,ec,a2,ee,82,ab,d2,6c,5e,
    67,3a,a3,37,4a,7d,ac,a9,91,90,8d,3f,0f,ae,9d,91,9c,6b,6e,b1,4e,0b,e0,5a,f5,\
    "rkeysecu"=hex:01,9d,5b,5e,d5,60,9b,45,67,0f,9c,5b,1a,57,e6,57

    [HKEY_USERS\S-1-5-21-3376712678-2798755542-3062604384-1000\@;*@L~
    *]
    @Allowed: (Read) (RestrictedCode)
    "Running"=dword:00000001

    [HKEY_USERS\S-1-5-21-3376712678-2798755542-3062604384-1000\8D·~®'à*]
    @Allowed: (Read) (RestrictedCode)
    "Running"=dword:00000001
    .
    Heure de fin: 2010-09-24 01:07:20
    ComboFix-quarantined-files.txt 2010-09-23 23:07

    Avant-CF: 38 713 270 272 octets libres
    Après-CF: 86 093 926 400 octets libres

    Current=1 Default=1 Failed=0 LastKnownGood=91 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91
    - - End Of File - - D6D9565ECA25CAEA752DB913DBAF3BE5
    0