Problème firefox et dossiers sans noms...
Résolu
666999666
Messages postés
2
Date d'inscription
Statut
Membre
Dernière intervention
-
moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention -
moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention -
A voir également:
- Problème firefox et dossiers sans noms...
- Telecharger firefox - Télécharger - Navigateurs
- Video downloadhelper firefox - Télécharger - Outils pour navigateurs
- Les noms des animaux - Télécharger - Études & Formations
- Exporter favoris firefox - Guide
- Ghostery firefox - Télécharger - Web & Internet
53 réponses
fais un nouveau rapport ZHPdiag
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
ZHPDiag plante a 80%, obligé de rebooter complètement, je n'ai même plus accés au gestionnaire de tâches...
J'ai un morceau du rapport par contre: http://www.cijoint.fr/cjlink.php?file=cj201010/cij7rxY6sD.txt
J'ai un morceau du rapport par contre: http://www.cijoint.fr/cjlink.php?file=cj201010/cij7rxY6sD.txt
Impossible d'installer Combofix, comme quoi je n'ai pas les droits...etc...alors que je suis bien en admin, chemin c: non accessible alors qu'il l'est...
Ça a l'air mal barré tout ça, en parralèle j'ai mis un coup de malwarebyte hier qui m'a trouvé 21 infections mais qui plante a la suppression...
Antivir m'a trouvé 18 infections a la suite ce matin que j'ai pu enlever, alors que je n'ai jamais été infecté auparavant....
Ça a l'air mal barré tout ça, en parralèle j'ai mis un coup de malwarebyte hier qui m'a trouvé 21 infections mais qui plante a la suppression...
Antivir m'a trouvé 18 infections a la suite ce matin que j'ai pu enlever, alors que je n'ai jamais été infecté auparavant....
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Antivir n'a pas gardé le rapport, j'ai seulement le nom des 18 infections qui est le même: TR/Trash.Gen
Mais ils sont supprimés.
Je continue le tuto, merci.
Mais ils sont supprimés.
Je continue le tuto, merci.
Helper.exe ne veut rien savoir, par contre j'ai réussi ZHPDiag a 100% en désactivant toutes les défenses et le net.
Le rapport: http://www.cijoint.fr/cjlink.php?file=cj201010/cij5qU2Qmp.txt
Le rapport: http://www.cijoint.fr/cjlink.php?file=cj201010/cij5qU2Qmp.txt
Rapport Combofix en mode sans echec avec prise en charge reseau mais la console n'a pas pu etre téléchargée...
ComboFix 10-10-14.01 - Administrateur 15/10/2010 14:49:04.1.2 - x86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3071.2697 [GMT 2:00]
Lancé depuis: D:\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents
c:\windows\UA000106.DLL
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
((((((((((((((((((((((((((((( Fichiers créés du 2010-09-15 au 2010-10-15 ))))))))))))))))))))))))))))))))))))
.
2010-10-15 09:12 . 2010-10-15 12:20 -------- d-----w- c:\program files\ZHPDiag
2010-10-14 22:23 . 2010-10-14 22:23 -------- d-----w- c:\documents and settings\Alex\Application Data\Malwarebytes
2010-10-14 22:23 . 2010-10-14 22:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-10-14 22:23 . 2010-10-15 12:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-14 11:25 . 2010-10-14 11:25 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-10-13 19:25 . 2010-09-18 06:53 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll
2010-10-13 19:25 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2010-10-13 19:24 . 2010-08-23 16:12 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2010-10-13 12:14 . 2010-10-13 12:14 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Vuze_Remote
2010-10-12 10:30 . 2010-10-15 12:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-10-12 10:30 . 2010-10-14 08:50 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-10-10 18:54 . 2010-10-15 11:03 -------- d-----w- c:\documents and settings\Alex\Application Data\Azureus
2010-10-10 18:52 . 2010-10-10 18:52 -------- d-----w- c:\documents and settings\Alex\Local Settings\Application Data\Conduit
2010-10-10 18:52 . 2010-10-14 20:19 -------- d-----w- c:\documents and settings\Alex\Local Settings\Application Data\Vuze_Remote
2010-10-10 18:52 . 2010-10-10 18:52 -------- d-----w- c:\program files\Conduit
2010-10-10 18:52 . 2010-10-10 18:53 -------- d-----w- c:\program files\Vuze
2010-10-09 01:10 . 2010-10-09 01:10 232968 ----a-w- c:\windows\system32\nvdrsdb0.bin
2010-10-09 01:10 . 2010-10-09 01:10 1 ----a-w- c:\windows\system32\nvdrssel.bin
2010-10-09 01:10 . 2010-10-09 01:10 232968 ----a-w- c:\windows\system32\nvdrsdb1.bin
2010-10-06 09:41 . 2010-10-06 09:42 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-10-02 19:33 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-02 19:33 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2010-10-02 19:31 . 2010-10-02 19:31 -------- d-----w- c:\program files\Apple Software Update
2010-10-02 19:31 . 2010-10-02 19:31 -------- d-----w- c:\program files\Bonjour
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\program files\Internet Explorer\PLUGINS\nppdf32.dll
2010-09-18 10:23 . 2010-09-18 10:23 974848 -c----w- c:\windows\system32\dllcache\mfc42u.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
------- Sigcheck -------
[-] 2002-08-29 . A0EE5C06390357FEE7B7949DBCA156D3 . 165376 . . [5.1.2600.1106] . . c:\windows\system32\appmgmts.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuze.dll" [2010-09-12 3863136]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-09-12 13:02 3863136 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-09-12 13:02 3863136 ----a-w- c:\program files\Vuze_Remote\tbVuze.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuze.dll" [2010-09-12 3863136]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-09-12 3863136]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\program files\Vuze_Remote\tbVuze.dll" [2010-09-12 3863136]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-09-12 3863136]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2010-10-02 2500552]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\program files\SFR\Media Center\httpd\httpd.exe"= c:\program files\SFR\Media Center\httpd\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.0/255.255.255.0:Enabled:Serveur de partage Media Center (Player SFR)
R0 CLBStor;CyberLink InstantBurn UDF Reader Help Driver;c:\windows\system32\drivers\CLBStor.sys [11/03/2010 15:01 10368]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [02/03/2010 00:42 64288]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [04/06/2010 11:55 239240]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [01/06/2010 19:00 25240]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [26/02/2010 01:31 108289]
R2 CLBUDFR;CyberLink UDF Filesystem;c:\windows\system32\drivers\CLBUDFR.sys [11/03/2010 15:01 154368]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Fichiers communs\MAGIX Services\Database\bin\FABS.exe [27/08/2009 17:09 1253376]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Fichiers communs\MAGIX Services\Database\bin\fbserver.exe [07/08/2008 11:10 3276800]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [12/07/2010 10:55 1357464]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\kernexplorer.sys [13/08/2010 23:00 15008]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{163deb42-9fc3-11df-8c7f-0015f219e772}]
\Shell\AutoRun\command - mbvd.exe
\Shell\open\Command - mbvd.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6622acb6-2bc8-11df-af82-0015f219e772}]
\Shell\AutoRun\command - "I:\WD SmartWare.exe" autoplay=true
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{867d5f42-2222-11df-ad9d-806d6172696f}]
\Shell\AutoRun\command - f:\ctrun\Start.exe
.
Contenu du dossier 'Tâches planifiées'
2010-10-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Alex\Application Data\Mozilla\Firefox\Profiles\e1qdundk.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - component: c:\documents and settings\Alex\Application Data\Mozilla\Firefox\Profiles\e1qdundk.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\Alex\Application Data\Mozilla\Firefox\Profiles\e1qdundk.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\RadioWMPCore.dll
FF - plugin: c:\documents and settings\Alex\Application Data\Mozilla\Firefox\Profiles\e1qdundk.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}\plugins\npGarmin.dll
FF - plugin: c:\documents and settings\Alex\Application Data\Mozilla\Firefox\Profiles\e1qdundk.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'lsass.exe'(768)
c:\windows\system32\guard32.dll
- - - - - - - > 'explorer.exe'(2300)
c:\windows\system32\guard32.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
.
**************************************************************************
.
Heure de fin: 2010-10-15 14:57:59 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-10-15 12:57
Avant-CF: 39 630 270 464 octets libres
Après-CF: 39 550 099 456 octets libres
- - End Of File - - 8151850D86ECC3413A9C630812A821D
ComboFix 10-10-14.01 - Administrateur 15/10/2010 14:49:04.1.2 - x86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3071.2697 [GMT 2:00]
Lancé depuis: D:\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents
c:\windows\UA000106.DLL
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
((((((((((((((((((((((((((((( Fichiers créés du 2010-09-15 au 2010-10-15 ))))))))))))))))))))))))))))))))))))
.
2010-10-15 09:12 . 2010-10-15 12:20 -------- d-----w- c:\program files\ZHPDiag
2010-10-14 22:23 . 2010-10-14 22:23 -------- d-----w- c:\documents and settings\Alex\Application Data\Malwarebytes
2010-10-14 22:23 . 2010-10-14 22:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-10-14 22:23 . 2010-10-15 12:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-14 11:25 . 2010-10-14 11:25 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-10-13 19:25 . 2010-09-18 06:53 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll
2010-10-13 19:25 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2010-10-13 19:24 . 2010-08-23 16:12 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2010-10-13 12:14 . 2010-10-13 12:14 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Vuze_Remote
2010-10-12 10:30 . 2010-10-15 12:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-10-12 10:30 . 2010-10-14 08:50 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-10-10 18:54 . 2010-10-15 11:03 -------- d-----w- c:\documents and settings\Alex\Application Data\Azureus
2010-10-10 18:52 . 2010-10-10 18:52 -------- d-----w- c:\documents and settings\Alex\Local Settings\Application Data\Conduit
2010-10-10 18:52 . 2010-10-14 20:19 -------- d-----w- c:\documents and settings\Alex\Local Settings\Application Data\Vuze_Remote
2010-10-10 18:52 . 2010-10-10 18:52 -------- d-----w- c:\program files\Conduit
2010-10-10 18:52 . 2010-10-10 18:53 -------- d-----w- c:\program files\Vuze
2010-10-09 01:10 . 2010-10-09 01:10 232968 ----a-w- c:\windows\system32\nvdrsdb0.bin
2010-10-09 01:10 . 2010-10-09 01:10 1 ----a-w- c:\windows\system32\nvdrssel.bin
2010-10-09 01:10 . 2010-10-09 01:10 232968 ----a-w- c:\windows\system32\nvdrsdb1.bin
2010-10-06 09:41 . 2010-10-06 09:42 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-10-02 19:33 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-02 19:33 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2010-10-02 19:31 . 2010-10-02 19:31 -------- d-----w- c:\program files\Apple Software Update
2010-10-02 19:31 . 2010-10-02 19:31 -------- d-----w- c:\program files\Bonjour
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\program files\Internet Explorer\PLUGINS\nppdf32.dll
2010-09-18 10:23 . 2010-09-18 10:23 974848 -c----w- c:\windows\system32\dllcache\mfc42u.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
------- Sigcheck -------
[-] 2002-08-29 . A0EE5C06390357FEE7B7949DBCA156D3 . 165376 . . [5.1.2600.1106] . . c:\windows\system32\appmgmts.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuze.dll" [2010-09-12 3863136]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-09-12 13:02 3863136 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-09-12 13:02 3863136 ----a-w- c:\program files\Vuze_Remote\tbVuze.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuze.dll" [2010-09-12 3863136]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-09-12 3863136]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\program files\Vuze_Remote\tbVuze.dll" [2010-09-12 3863136]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-09-12 3863136]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2010-10-02 2500552]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\program files\SFR\Media Center\httpd\httpd.exe"= c:\program files\SFR\Media Center\httpd\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.0/255.255.255.0:Enabled:Serveur de partage Media Center (Player SFR)
R0 CLBStor;CyberLink InstantBurn UDF Reader Help Driver;c:\windows\system32\drivers\CLBStor.sys [11/03/2010 15:01 10368]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [02/03/2010 00:42 64288]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [04/06/2010 11:55 239240]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [01/06/2010 19:00 25240]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [26/02/2010 01:31 108289]
R2 CLBUDFR;CyberLink UDF Filesystem;c:\windows\system32\drivers\CLBUDFR.sys [11/03/2010 15:01 154368]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Fichiers communs\MAGIX Services\Database\bin\FABS.exe [27/08/2009 17:09 1253376]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Fichiers communs\MAGIX Services\Database\bin\fbserver.exe [07/08/2008 11:10 3276800]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [12/07/2010 10:55 1357464]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\kernexplorer.sys [13/08/2010 23:00 15008]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{163deb42-9fc3-11df-8c7f-0015f219e772}]
\Shell\AutoRun\command - mbvd.exe
\Shell\open\Command - mbvd.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6622acb6-2bc8-11df-af82-0015f219e772}]
\Shell\AutoRun\command - "I:\WD SmartWare.exe" autoplay=true
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{867d5f42-2222-11df-ad9d-806d6172696f}]
\Shell\AutoRun\command - f:\ctrun\Start.exe
.
Contenu du dossier 'Tâches planifiées'
2010-10-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Alex\Application Data\Mozilla\Firefox\Profiles\e1qdundk.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - component: c:\documents and settings\Alex\Application Data\Mozilla\Firefox\Profiles\e1qdundk.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\Alex\Application Data\Mozilla\Firefox\Profiles\e1qdundk.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\RadioWMPCore.dll
FF - plugin: c:\documents and settings\Alex\Application Data\Mozilla\Firefox\Profiles\e1qdundk.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}\plugins\npGarmin.dll
FF - plugin: c:\documents and settings\Alex\Application Data\Mozilla\Firefox\Profiles\e1qdundk.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'lsass.exe'(768)
c:\windows\system32\guard32.dll
- - - - - - - > 'explorer.exe'(2300)
c:\windows\system32\guard32.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
.
**************************************************************************
.
Heure de fin: 2010-10-15 14:57:59 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-10-15 12:57
Avant-CF: 39 630 270 464 octets libres
Après-CF: 39 550 099 456 octets libres
- - End Of File - - 8151850D86ECC3413A9C630812A821D
Rapport USBfix:
############################## | UsbFix 7.030 | [Recherche]
Utilisateur: Alex (Administrateur) # MEGALOMANIAC [ ]
Mis à jour le 10/10/10 par El Desaparecido / C_XX
Lancé à 22:31:57 | 15/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@arx-services.com
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
Firewall: COMODO Firewall 3.9 [Enabled]
RAM -> 3071 Mo
C:\ (%systemdrive%) -> Disque fixe # 59 Go (37 Go libre(s) - 63%) [] # NTFS
D:\ -> Disque fixe # 174 Go (84 Go libre(s) - 48%) [Download] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 234 Go (88 Go libre(s) - 38%) [MUSIQUE] # NTFS
H:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [SDHC 4GO] # FAT32
I:\ -> Disque fixe # 298 Go (204 Go libre(s) - 68%) [My Book] # NTFS
J:\ -> Disque amovible # 2 Go (1 Go libre(s) - 62%) [] # FAT32
################## | Éléments infectieux |
Présent! C:\helper.exe
################## | Registre |
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{163deb42-9fc3-11df-8c7f-0015f219e772}
Shell\AutoRun\Command = mbvd.exe
Shell\open\Command = mbvd.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{6622acb6-2bc8-11df-af82-0015f219e772}
Shell\AutoRun\Command = "I:\WD SmartWare.exe" autoplay=true
HKCU\.\.\.\.\Explorer\MountPoints2\{867d5f42-2222-11df-ad9d-806d6172696f}
Shell\AutoRun\Command = F:\Ctrun\Start.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
############################## | UsbFix 7.030 | [Recherche]
Utilisateur: Alex (Administrateur) # MEGALOMANIAC [ ]
Mis à jour le 10/10/10 par El Desaparecido / C_XX
Lancé à 22:31:57 | 15/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@arx-services.com
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
Firewall: COMODO Firewall 3.9 [Enabled]
RAM -> 3071 Mo
C:\ (%systemdrive%) -> Disque fixe # 59 Go (37 Go libre(s) - 63%) [] # NTFS
D:\ -> Disque fixe # 174 Go (84 Go libre(s) - 48%) [Download] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 234 Go (88 Go libre(s) - 38%) [MUSIQUE] # NTFS
H:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [SDHC 4GO] # FAT32
I:\ -> Disque fixe # 298 Go (204 Go libre(s) - 68%) [My Book] # NTFS
J:\ -> Disque amovible # 2 Go (1 Go libre(s) - 62%) [] # FAT32
################## | Éléments infectieux |
Présent! C:\helper.exe
################## | Registre |
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{163deb42-9fc3-11df-8c7f-0015f219e772}
Shell\AutoRun\Command = mbvd.exe
Shell\open\Command = mbvd.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{6622acb6-2bc8-11df-af82-0015f219e772}
Shell\AutoRun\Command = "I:\WD SmartWare.exe" autoplay=true
HKCU\.\.\.\.\Explorer\MountPoints2\{867d5f42-2222-11df-ad9d-806d6172696f}
Shell\AutoRun\Command = F:\Ctrun\Start.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
Rapport List_Kill'em, mais premier lancement pas relance.
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.1.0 ¤¤¤¤¤¤¤¤¤¤
User : Alex (Administrateurs)
Update on 13/10/2010 by g3n-h@ckm@n ::::: 19.00
Start at: 09:48:52 | 16/10/2010
AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : COMODO Firewall[ Enabled ]3.9
C:\ -> Disque fixe local | 58,59 Go (36,83 Go free) | NTFS
D:\ -> Disque fixe local | 174,28 Go (83,56 Go free) [Download] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque fixe local | 233,76 Go (89,01 Go free) [MUSIQUE] | NTFS
H:\ -> Disque amovible | 3,68 Go (3,68 Go free) [SDHC 4GO] | FAT32
I:\ -> Disque fixe local | 298,09 Go (178,73 Go free) [My Book] | NTFS
J:\ -> Disque amovible | 1,93 Go (1,19 Go free) | FAT32
K:\ -> Disque fixe local | 931,51 Go (14,78 Go free) [Elements] | NTFS
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\.zreglib
Quarantined & Deleted !! : C:\WINDOWS\002538_.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp
Quarantined & Deleted !! : C:\WINDOWS\_delis32.ini
Quarantined & Deleted !! : C:\Documents and Settings\Alex\LOCAL Settings\Temp\i4jdel0.exe
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤
Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : HKCU\Software\Conduit
Deleted : HKLM\Software\Conduit
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 ()
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
FEATURE_BROWSER_EMULATION | svchost :
====================================
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvata.sys
kernel: MBR read successfully
user & kernel MBR OK
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Je fais USBFix et je poste.
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.1.0 ¤¤¤¤¤¤¤¤¤¤
User : Alex (Administrateurs)
Update on 13/10/2010 by g3n-h@ckm@n ::::: 19.00
Start at: 09:48:52 | 16/10/2010
AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : COMODO Firewall[ Enabled ]3.9
C:\ -> Disque fixe local | 58,59 Go (36,83 Go free) | NTFS
D:\ -> Disque fixe local | 174,28 Go (83,56 Go free) [Download] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque fixe local | 233,76 Go (89,01 Go free) [MUSIQUE] | NTFS
H:\ -> Disque amovible | 3,68 Go (3,68 Go free) [SDHC 4GO] | FAT32
I:\ -> Disque fixe local | 298,09 Go (178,73 Go free) [My Book] | NTFS
J:\ -> Disque amovible | 1,93 Go (1,19 Go free) | FAT32
K:\ -> Disque fixe local | 931,51 Go (14,78 Go free) [Elements] | NTFS
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\.zreglib
Quarantined & Deleted !! : C:\WINDOWS\002538_.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp
Quarantined & Deleted !! : C:\WINDOWS\_delis32.ini
Quarantined & Deleted !! : C:\Documents and Settings\Alex\LOCAL Settings\Temp\i4jdel0.exe
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤
Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : HKCU\Software\Conduit
Deleted : HKLM\Software\Conduit
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 ()
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
FEATURE_BROWSER_EMULATION | svchost :
====================================
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvata.sys
kernel: MBR read successfully
user & kernel MBR OK
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Je fais USBFix et je poste.
Rapport USBFix:
############################## | UsbFix 7.030 | [Suppression]
Utilisateur: Alex (Administrateur) # MEGALOMANIAC [ ]
Mis à jour le 10/10/10 par El Desaparecido / C_XX
Lancé à 10:16:12 | 16/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@arx-services.com
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
Firewall: COMODO Firewall 3.9 [Enabled]
RAM -> 3071 Mo
C:\ (%systemdrive%) -> Disque fixe # 59 Go (37 Go libre(s) - 63%) [] # NTFS
D:\ -> Disque fixe # 174 Go (84 Go libre(s) - 48%) [Download] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 234 Go (89 Go libre(s) - 38%) [MUSIQUE] # NTFS
H:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [SDHC 4GO] # FAT32
I:\ -> Disque fixe # 298 Go (179 Go libre(s) - 60%) [My Book] # NTFS
J:\ -> Disque amovible # 2 Go (1 Go libre(s) - 62%) [] # FAT32
K:\ -> Disque fixe # 932 Go (15 Go libre(s) - 2%) [Elements] # NTFS
################## | Éléments infectieux |
Supprimé! C:\Recycler\S-1-5-21-507921405-492894223-725345543-1004
Supprimé! D:\Recycler\S-1-5-21-507921405-492894223-725345543-1004
Supprimé! D:\Recycler\S-1-5-21-507921405-492894223-725345543-500
Supprimé! G:\Recycler\S-1-5-21-507921405-492894223-725345543-1004
Supprimé! G:\Recycler\S-1-5-21-507921405-492894223-725345543-500
Supprimé! I:\$RECYCLE.BIN\S-1-5-21-2273038997-872724551-3339191424-1000
Supprimé! I:\Recycler\S-1-5-21-1454471165-1645522239-839522115-1004
Supprimé! I:\Recycler\S-1-5-21-484763869-1364589140-725345543-1004
Supprimé! I:\Recycler\S-1-5-21-507921405-492894223-725345543-1004
Supprimé! K:\$RECYCLE.BIN\S-1-5-21-2273038997-872724551-3339191424-1000
Supprimé! K:\Recycler\S-1-5-21-507921405-492894223-725345543-1004
Supprimé! C:\helper.exe
################## | Registre |
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{163deb42-9fc3-11df-8c7f-0015f219e772}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{6622acb6-2bc8-11df-af82-0015f219e772}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{867d5f42-2222-11df-ad9d-806d6172696f}
################## | Listing |
[15/10/2010 - 22:57:20 | N | 93314] C:\aaw7boot.log
[16/10/2010 - 10:11:14 | N | 4] C:\AUTOEXEC.BAT
[26/02/2010 - 01:12:06 | N | 228] C:\boot.ini
[05/08/2004 - 14:00:00 | N | 4952] C:\Bootfont.bin
[14/04/2010 - 22:45:51 | N | 23851] C:\cmd.txt
[15/10/2010 - 14:57:59 | N | 12187] C:\ComboFix.txt
[09/10/2010 - 03:11:45 | D ] C:\Config.Msi
[25/02/2010 - 23:36:02 | N | 0] C:\CONFIG.SYS
[15/10/2010 - 14:44:04 | D ] C:\Documents and Settings
[15/10/2010 - 14:16:15 | D ] C:\helper.exe10667h
[15/10/2010 - 14:20:14 | D ] C:\helper.exe12041h
[15/10/2010 - 14:17:13 | D ] C:\helper.exe30083h
[25/02/2010 - 23:36:02 | N | 0] C:\IO.SYS
[16/10/2010 - 09:49:01 | D ] C:\Kill'em
[16/10/2010 - 09:48:52 | N | 15] C:\List'em.txt
[25/02/2010 - 23:36:02 | N | 0] C:\MSDOS.SYS
[05/08/2004 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[26/02/2010 - 04:39:58 | N | 252240] C:\ntldr
[26/02/2010 - 01:47:08 | D ] C:\NVIDIA
[15/10/2010 - 22:57:20 | ASH | 2145386496] C:\pagefile.sys
[16/10/2010 - 09:47:22 | D ] C:\Program Files
[15/10/2010 - 14:58:03 | D ] C:\Qoobox
[16/10/2010 - 10:17:54 | SHD ] C:\RECYCLER
[25/02/2010 - 23:39:34 | SHD ] C:\System Volume Information
[12/05/2010 - 09:07:18 | D ] C:\temp
[16/10/2010 - 10:17:54 | D ] C:\UsbFix
[16/10/2010 - 10:17:58 | A | 2135] C:\UsbFix.txt
[16/10/2010 - 10:09:13 | D ] C:\WINDOWS
[13/10/2010 - 00:58:39 | N | 80690] D:\101012114232352743.jpg
[13/10/2010 - 12:42:18 | N | 66877] D:\13429-bb64fe-393-500.jpg
[13/10/2010 - 12:43:18 | N | 90953] D:\3d4ad9ae67f35c33c1ab2f1b86956847884fd6b0.jpeg
[29/07/2010 - 13:22:02 | N | 2920] D:\AlbumArtSmall.jpg
[05/10/2010 - 16:25:54 | D ] D:\Claire
[15/10/2010 - 14:38:00 | N | 3878474] D:\ComboFix.exe
[14/10/2010 - 17:42:10 | D ] D:\Divers
[29/07/2010 - 13:22:02 | N | 12168] D:\Folder.jpg
[16/10/2010 - 09:45:33 | N | 3289622] D:\List_Killem_Install.exe
[12/10/2010 - 11:41:28 | N | 4737650] D:\P1040645.JPG
[12/10/2010 - 11:41:44 | N | 5084206] D:\P1040646.JPG
[16/10/2010 - 10:17:54 | SHD ] D:\RECYCLER
[08/10/2010 - 23:22:17 | D ] D:\Serj Tankian - Imperfect Harmonies (2010)
[08/10/2010 - 23:13:58 | D ] D:\SKATE 3
[26/02/2010 - 01:30:07 | SHD ] D:\System Volume Information
[13/10/2010 - 20:05:45 | ASH | 2360964] D:\Thumbs.db
[15/10/2010 - 22:29:22 | N | 1215499] D:\UsbFix.exe
[20/09/2010 - 12:11:37 | D ] G:\ALBUMS
[12/08/2010 - 03:49:54 | N | 9457541] G:\aleXclaire.rar
[18/03/2010 - 12:57:53 | D ] G:\CONCERTS
[15/10/2010 - 22:37:43 | D ] G:\Le cinquième élement (full blu-ray)
[16/06/2010 - 12:23:28 | D ] G:\photos guyane
[16/10/2010 - 10:17:54 | SHD ] G:\RECYCLER
[03/10/2010 - 10:47:03 | D ] G:\SKATE 3
[14/10/2010 - 22:26:41 | D ] G:\solo 8
[19/03/2010 - 12:04:12 | SHD ] G:\System Volume Information
[23/12/2009 - 11:50:33 | SHD ] I:\$RECYCLE.BIN
[20/08/2007 - 01:43:31 | N | 20] I:\ArcDeviceInfo
[08/04/2010 - 00:35:17 | N | 4673593344] I:\AVATAR.iso
[22/04/2010 - 14:29:17 | D ] I:\Jeux
[15/10/2010 - 22:37:43 | D ] I:\Le cinquième élement (full blu-ray)
[02/12/2008 - 13:25:08 | D ] I:\Livres
[06/03/2010 - 13:55:57 | D ] I:\Logiciels
[01/08/2010 - 05:14:42 | D ] I:\Mes photos
[25/09/2010 - 18:23:04 | D ] I:\PS3
[16/10/2010 - 10:17:54 | SHD ] I:\RECYCLER
[26/02/2010 - 16:06:44 | SHD ] I:\System Volume Information
[19/07/2008 - 12:14:01 | ASH | 5632] I:\Thumbs.db
[09/10/2010 - 03:31:46 | N | 734631936] J:\Lake.Placid.3.avi
[01/10/2010 - 15:44:48 | D ] J:\BERTRAND
[24/02/2010 - 14:03:31 | SHD ] K:\$RECYCLE.BIN
[21/09/2010 - 00:50:44 | D ] K:\FILMS
[16/10/2010 - 10:17:54 | SHD ] K:\RECYCLER
[29/08/2010 - 03:51:00 | D ] K:\SERIES
[27/02/2010 - 20:47:43 | SHD ] K:\System Volume Information
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | E.O.F |
############################## | UsbFix 7.030 | [Suppression]
Utilisateur: Alex (Administrateur) # MEGALOMANIAC [ ]
Mis à jour le 10/10/10 par El Desaparecido / C_XX
Lancé à 10:16:12 | 16/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@arx-services.com
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
Firewall: COMODO Firewall 3.9 [Enabled]
RAM -> 3071 Mo
C:\ (%systemdrive%) -> Disque fixe # 59 Go (37 Go libre(s) - 63%) [] # NTFS
D:\ -> Disque fixe # 174 Go (84 Go libre(s) - 48%) [Download] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 234 Go (89 Go libre(s) - 38%) [MUSIQUE] # NTFS
H:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [SDHC 4GO] # FAT32
I:\ -> Disque fixe # 298 Go (179 Go libre(s) - 60%) [My Book] # NTFS
J:\ -> Disque amovible # 2 Go (1 Go libre(s) - 62%) [] # FAT32
K:\ -> Disque fixe # 932 Go (15 Go libre(s) - 2%) [Elements] # NTFS
################## | Éléments infectieux |
Supprimé! C:\Recycler\S-1-5-21-507921405-492894223-725345543-1004
Supprimé! D:\Recycler\S-1-5-21-507921405-492894223-725345543-1004
Supprimé! D:\Recycler\S-1-5-21-507921405-492894223-725345543-500
Supprimé! G:\Recycler\S-1-5-21-507921405-492894223-725345543-1004
Supprimé! G:\Recycler\S-1-5-21-507921405-492894223-725345543-500
Supprimé! I:\$RECYCLE.BIN\S-1-5-21-2273038997-872724551-3339191424-1000
Supprimé! I:\Recycler\S-1-5-21-1454471165-1645522239-839522115-1004
Supprimé! I:\Recycler\S-1-5-21-484763869-1364589140-725345543-1004
Supprimé! I:\Recycler\S-1-5-21-507921405-492894223-725345543-1004
Supprimé! K:\$RECYCLE.BIN\S-1-5-21-2273038997-872724551-3339191424-1000
Supprimé! K:\Recycler\S-1-5-21-507921405-492894223-725345543-1004
Supprimé! C:\helper.exe
################## | Registre |
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{163deb42-9fc3-11df-8c7f-0015f219e772}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{6622acb6-2bc8-11df-af82-0015f219e772}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{867d5f42-2222-11df-ad9d-806d6172696f}
################## | Listing |
[15/10/2010 - 22:57:20 | N | 93314] C:\aaw7boot.log
[16/10/2010 - 10:11:14 | N | 4] C:\AUTOEXEC.BAT
[26/02/2010 - 01:12:06 | N | 228] C:\boot.ini
[05/08/2004 - 14:00:00 | N | 4952] C:\Bootfont.bin
[14/04/2010 - 22:45:51 | N | 23851] C:\cmd.txt
[15/10/2010 - 14:57:59 | N | 12187] C:\ComboFix.txt
[09/10/2010 - 03:11:45 | D ] C:\Config.Msi
[25/02/2010 - 23:36:02 | N | 0] C:\CONFIG.SYS
[15/10/2010 - 14:44:04 | D ] C:\Documents and Settings
[15/10/2010 - 14:16:15 | D ] C:\helper.exe10667h
[15/10/2010 - 14:20:14 | D ] C:\helper.exe12041h
[15/10/2010 - 14:17:13 | D ] C:\helper.exe30083h
[25/02/2010 - 23:36:02 | N | 0] C:\IO.SYS
[16/10/2010 - 09:49:01 | D ] C:\Kill'em
[16/10/2010 - 09:48:52 | N | 15] C:\List'em.txt
[25/02/2010 - 23:36:02 | N | 0] C:\MSDOS.SYS
[05/08/2004 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[26/02/2010 - 04:39:58 | N | 252240] C:\ntldr
[26/02/2010 - 01:47:08 | D ] C:\NVIDIA
[15/10/2010 - 22:57:20 | ASH | 2145386496] C:\pagefile.sys
[16/10/2010 - 09:47:22 | D ] C:\Program Files
[15/10/2010 - 14:58:03 | D ] C:\Qoobox
[16/10/2010 - 10:17:54 | SHD ] C:\RECYCLER
[25/02/2010 - 23:39:34 | SHD ] C:\System Volume Information
[12/05/2010 - 09:07:18 | D ] C:\temp
[16/10/2010 - 10:17:54 | D ] C:\UsbFix
[16/10/2010 - 10:17:58 | A | 2135] C:\UsbFix.txt
[16/10/2010 - 10:09:13 | D ] C:\WINDOWS
[13/10/2010 - 00:58:39 | N | 80690] D:\101012114232352743.jpg
[13/10/2010 - 12:42:18 | N | 66877] D:\13429-bb64fe-393-500.jpg
[13/10/2010 - 12:43:18 | N | 90953] D:\3d4ad9ae67f35c33c1ab2f1b86956847884fd6b0.jpeg
[29/07/2010 - 13:22:02 | N | 2920] D:\AlbumArtSmall.jpg
[05/10/2010 - 16:25:54 | D ] D:\Claire
[15/10/2010 - 14:38:00 | N | 3878474] D:\ComboFix.exe
[14/10/2010 - 17:42:10 | D ] D:\Divers
[29/07/2010 - 13:22:02 | N | 12168] D:\Folder.jpg
[16/10/2010 - 09:45:33 | N | 3289622] D:\List_Killem_Install.exe
[12/10/2010 - 11:41:28 | N | 4737650] D:\P1040645.JPG
[12/10/2010 - 11:41:44 | N | 5084206] D:\P1040646.JPG
[16/10/2010 - 10:17:54 | SHD ] D:\RECYCLER
[08/10/2010 - 23:22:17 | D ] D:\Serj Tankian - Imperfect Harmonies (2010)
[08/10/2010 - 23:13:58 | D ] D:\SKATE 3
[26/02/2010 - 01:30:07 | SHD ] D:\System Volume Information
[13/10/2010 - 20:05:45 | ASH | 2360964] D:\Thumbs.db
[15/10/2010 - 22:29:22 | N | 1215499] D:\UsbFix.exe
[20/09/2010 - 12:11:37 | D ] G:\ALBUMS
[12/08/2010 - 03:49:54 | N | 9457541] G:\aleXclaire.rar
[18/03/2010 - 12:57:53 | D ] G:\CONCERTS
[15/10/2010 - 22:37:43 | D ] G:\Le cinquième élement (full blu-ray)
[16/06/2010 - 12:23:28 | D ] G:\photos guyane
[16/10/2010 - 10:17:54 | SHD ] G:\RECYCLER
[03/10/2010 - 10:47:03 | D ] G:\SKATE 3
[14/10/2010 - 22:26:41 | D ] G:\solo 8
[19/03/2010 - 12:04:12 | SHD ] G:\System Volume Information
[23/12/2009 - 11:50:33 | SHD ] I:\$RECYCLE.BIN
[20/08/2007 - 01:43:31 | N | 20] I:\ArcDeviceInfo
[08/04/2010 - 00:35:17 | N | 4673593344] I:\AVATAR.iso
[22/04/2010 - 14:29:17 | D ] I:\Jeux
[15/10/2010 - 22:37:43 | D ] I:\Le cinquième élement (full blu-ray)
[02/12/2008 - 13:25:08 | D ] I:\Livres
[06/03/2010 - 13:55:57 | D ] I:\Logiciels
[01/08/2010 - 05:14:42 | D ] I:\Mes photos
[25/09/2010 - 18:23:04 | D ] I:\PS3
[16/10/2010 - 10:17:54 | SHD ] I:\RECYCLER
[26/02/2010 - 16:06:44 | SHD ] I:\System Volume Information
[19/07/2008 - 12:14:01 | ASH | 5632] I:\Thumbs.db
[09/10/2010 - 03:31:46 | N | 734631936] J:\Lake.Placid.3.avi
[01/10/2010 - 15:44:48 | D ] J:\BERTRAND
[24/02/2010 - 14:03:31 | SHD ] K:\$RECYCLE.BIN
[21/09/2010 - 00:50:44 | D ] K:\FILMS
[16/10/2010 - 10:17:54 | SHD ] K:\RECYCLER
[29/08/2010 - 03:51:00 | D ] K:\SERIES
[27/02/2010 - 20:47:43 | SHD ] K:\System Volume Information
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | E.O.F |
J'ai beau lancer, installer, desinstaller list_kill'em ça ne fonctionne plus: erreur 5 fichier list.bat introuvable :/
Rapport List_Kill'em:
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.1.0 ¤¤¤¤¤¤¤¤¤¤
User : Administrateur ()
Update on 16/10/2010 by g3n-h@ckm@n ::::: 12.20
Start at: 12:18:50 | 17/10/2010
AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : COMODO Firewall[ Enabled ]3.9
C:\ -> Disque fixe local | 58,59 Go (31,99 Go free) | NTFS
D:\ -> Disque fixe local | 174,28 Go (83,61 Go free) [Download] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque fixe local | 233,76 Go (89 Go free) [MUSIQUE] | NTFS
H:\ -> Disque amovible | 3,68 Go (3,68 Go free) [SDHC 4GO] | FAT32
I:\ -> Disque fixe local | 298,09 Go (178,73 Go free) [My Book] | NTFS
J:\ -> Disque amovible | 1,93 Go (1,19 Go free) | FAT32
K:\ -> Disque fixe local | 931,51 Go (14,78 Go free) [Elements] | NTFS
¤¤¤¤¤¤¤¤¤¤ Files/folders :
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 ()
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
FEATURE_BROWSER_EMULATION | svchost :
====================================
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvata.sys
kernel: MBR read successfully
user & kernel MBR OK
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Les symptomes sont les mêmes, rien a changé, je n'ai toujours pas de noms sur mes dossiers de D: et je dois toujours me battre avec Firefox pour surfer confortablement sans avoir besoin de terminer le processus a chaque fois que je veux changer de site ou d'onglet ou cliquer sur un lien quelconque...
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.1.0 ¤¤¤¤¤¤¤¤¤¤
User : Administrateur ()
Update on 16/10/2010 by g3n-h@ckm@n ::::: 12.20
Start at: 12:18:50 | 17/10/2010
AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : COMODO Firewall[ Enabled ]3.9
C:\ -> Disque fixe local | 58,59 Go (31,99 Go free) | NTFS
D:\ -> Disque fixe local | 174,28 Go (83,61 Go free) [Download] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque fixe local | 233,76 Go (89 Go free) [MUSIQUE] | NTFS
H:\ -> Disque amovible | 3,68 Go (3,68 Go free) [SDHC 4GO] | FAT32
I:\ -> Disque fixe local | 298,09 Go (178,73 Go free) [My Book] | NTFS
J:\ -> Disque amovible | 1,93 Go (1,19 Go free) | FAT32
K:\ -> Disque fixe local | 931,51 Go (14,78 Go free) [Elements] | NTFS
¤¤¤¤¤¤¤¤¤¤ Files/folders :
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 ()
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
FEATURE_BROWSER_EMULATION | svchost :
====================================
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvata.sys
kernel: MBR read successfully
user & kernel MBR OK
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Les symptomes sont les mêmes, rien a changé, je n'ai toujours pas de noms sur mes dossiers de D: et je dois toujours me battre avec Firefox pour surfer confortablement sans avoir besoin de terminer le processus a chaque fois que je veux changer de site ou d'onglet ou cliquer sur un lien quelconque...
Rapport Combofix en mode sans échec (pas le choix) avec prise ne charge reseau:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijDPDoC2X.txt
http://www.cijoint.fr/cjlink.php?file=cj201010/cijDPDoC2X.txt
Rapport ZHPFix:
Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-18-10-2010-11-02-13.txt
Run by Alex at 18/10/2010 11:02:13
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] -- conduitEngine => Désinstallation logicielle annulée par l'utilisateur !
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}] => Clé supprimée avec succès
[HKCR\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}] => Clé supprimée avec succès
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}] => Clé supprimée avec succès
[HKCR\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}] => Clé supprimée avec succès
O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\tbVuze.dll => Clé supprimée avec succès
HKCU\Software\conduitEngine => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.1.0.7) -- C:\Program Files\Vuze_Remote\tbVuze.dll => Valeur supprimée avec succès
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\tbVuze.dll => Valeur supprimée avec succès
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll => Valeur supprimée avec succès
========== Préférences navigateur ==========
/*user_pref("CT2438727.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A66979CC674&form=CONTLB&conlogo=CT3210127");*/ => Valeur supprimée avec succès
/*user_pref("CT2504091.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A435D7A4933&form=CONTLB&conlogo=CT3210127");*/ => Valeur supprimée avec succès
/*user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");*/ => Valeur supprimée avec succès
/*/*user_pref("CT2438727.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A66979CC674&form=CONTLB&conlogo=CT3210127");*/*/ => Valeur supprimée avec succès
/*/*user_pref("CT2504091.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A435D7A4933&form=CONTLB&conlogo=CT3210127");*/*/ => Valeur supprimée avec succès
/*/*user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");*/*/ => Valeur supprimée avec succès
========== Dossier(s) ==========
C:\Documents and Settings\Alex\Application Data\Mozilla\Firefox\Profiles\e1qdundk.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} => Fichier supprimé au reboot
C:\Program Files\Conduit => Supprimé et mis en quarantaine
C:\Program Files\ConduitEngine => Supprimé et mis en quarantaine
========== Fichier(s) ==========
c:\program files\vuze_remote\tbvuze.dll => Supprimé et mis en quarantaine
c:\program files\conduitengine\conduitengine.dll => Supprimé et mis en quarantaine
========== Récapitulatif ==========
8 : Clé(s) du Registre
3 : Valeur(s) du Registre
3 : Dossier(s)
2 : Fichier(s)
6 : Préférences navigateur
End of the scan
Je fais le reste.
Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-18-10-2010-11-02-13.txt
Run by Alex at 18/10/2010 11:02:13
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] -- conduitEngine => Désinstallation logicielle annulée par l'utilisateur !
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}] => Clé supprimée avec succès
[HKCR\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}] => Clé supprimée avec succès
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}] => Clé supprimée avec succès
[HKCR\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}] => Clé supprimée avec succès
O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\tbVuze.dll => Clé supprimée avec succès
HKCU\Software\conduitEngine => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.1.0.7) -- C:\Program Files\Vuze_Remote\tbVuze.dll => Valeur supprimée avec succès
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\tbVuze.dll => Valeur supprimée avec succès
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll => Valeur supprimée avec succès
========== Préférences navigateur ==========
/*user_pref("CT2438727.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A66979CC674&form=CONTLB&conlogo=CT3210127");*/ => Valeur supprimée avec succès
/*user_pref("CT2504091.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A435D7A4933&form=CONTLB&conlogo=CT3210127");*/ => Valeur supprimée avec succès
/*user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");*/ => Valeur supprimée avec succès
/*/*user_pref("CT2438727.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A66979CC674&form=CONTLB&conlogo=CT3210127");*/*/ => Valeur supprimée avec succès
/*/*user_pref("CT2504091.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A435D7A4933&form=CONTLB&conlogo=CT3210127");*/*/ => Valeur supprimée avec succès
/*/*user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");*/*/ => Valeur supprimée avec succès
========== Dossier(s) ==========
C:\Documents and Settings\Alex\Application Data\Mozilla\Firefox\Profiles\e1qdundk.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} => Fichier supprimé au reboot
C:\Program Files\Conduit => Supprimé et mis en quarantaine
C:\Program Files\ConduitEngine => Supprimé et mis en quarantaine
========== Fichier(s) ==========
c:\program files\vuze_remote\tbvuze.dll => Supprimé et mis en quarantaine
c:\program files\conduitengine\conduitengine.dll => Supprimé et mis en quarantaine
========== Récapitulatif ==========
8 : Clé(s) du Registre
3 : Valeur(s) du Registre
3 : Dossier(s)
2 : Fichier(s)
6 : Préférences navigateur
End of the scan
Je fais le reste.
Rapport OTL.text:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijmQfYMJf.txt
Rapport Extra.txt:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijlJklY7F.txt
http://www.cijoint.fr/cjlink.php?file=cj201010/cijmQfYMJf.txt
Rapport Extra.txt:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijlJklY7F.txt
C:\WINDOWS\System32\ctzapxx.ini
Je ne le trouve pas, même en affichant les dossiers/fichiers cachés.
Par contre le même sans .ini est présent.
C:\WINDOWS\System32\kbdro518m.dll
http://www.virustotal.com/file-scan/report.html?id=774c166072ff579a06269539b85f4d3b41d41dc47b81b3daebf50a87a506efae-1287485437
C:\WINDOWS\System32\CNMVS74.DLL
http://www.virustotal.com/file-scan/report.html?id=e2a255b3b14a20ba0cc7cdb9cdca33517c0fd1468697ef3c1a58a5b891ef1937-1287485659
C:\Documents and Settings\All Users\Application Data\drctchbl.xvi
http://www.virustotal.com/file-scan/report.html?id=9ddadcc18ea177cc931b3d02a5fb015971907a33bacb6375f126dab860c65527-1287486527
C:\Documents and Settings\All Users\Application Data\xqkcebzs.dik
http://www.virustotal.com/file-scan/report.html?id=b365d7f9b0ae1a4417c06e34b8bd67bd8e759727e6284d99f4cf755c578df8f1-1287486678
Je ne le trouve pas, même en affichant les dossiers/fichiers cachés.
Par contre le même sans .ini est présent.
C:\WINDOWS\System32\kbdro518m.dll
http://www.virustotal.com/file-scan/report.html?id=774c166072ff579a06269539b85f4d3b41d41dc47b81b3daebf50a87a506efae-1287485437
C:\WINDOWS\System32\CNMVS74.DLL
http://www.virustotal.com/file-scan/report.html?id=e2a255b3b14a20ba0cc7cdb9cdca33517c0fd1468697ef3c1a58a5b891ef1937-1287485659
C:\Documents and Settings\All Users\Application Data\drctchbl.xvi
http://www.virustotal.com/file-scan/report.html?id=9ddadcc18ea177cc931b3d02a5fb015971907a33bacb6375f126dab860c65527-1287486527
C:\Documents and Settings\All Users\Application Data\xqkcebzs.dik
http://www.virustotal.com/file-scan/report.html?id=b365d7f9b0ae1a4417c06e34b8bd67bd8e759727e6284d99f4cf755c578df8f1-1287486678
