Perdu raccourcis et favoris après infection..
Fermé
julienn da
Messages postés
34
Date d'inscription
samedi 26 mars 2011
Statut
Membre
Dernière intervention
16 juillet 2013
-
26 mars 2011 à 20:46
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 2 avril 2011 à 17:26
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 2 avril 2011 à 17:26
A voir également:
- Perdu raccourcis et favoris après infection..
- Code deverouillage telephone perdu - Guide
- Raccourcis clavier word - Guide
- Acheter colis perdu poste - Accueil - Services en ligne
- Mot de passe bios perdu - Guide
- Mot de passe administrateur perdu windows 10 - Guide
27 réponses
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
27 mars 2011 à 07:23
27 mars 2011 à 07:23
bonjour
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
* puis l'option 6
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
* puis l'option 6
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com
julienn da
Messages postés
34
Date d'inscription
samedi 26 mars 2011
Statut
Membre
Dernière intervention
16 juillet 2013
27 mars 2011 à 20:34
27 mars 2011 à 20:34
Super !!!
Un tout petit programme qui, avec vos instructions, a pour ainsi dire tout replacer a la bonne place !
Merci beaucoup "moment de grace", vous portez très bien votre identifiant puisque que c'est exactement ce que l'on ressent quand tout redevient normal... :-)
Petite question: a la fin de cette infection il s'est déclenché automatiquement une fenêtre avec le nom de Windows Recovrery que j'ai bloqué. Je n'ai jamais utilisé auparavant ce Windows Recovrery et les propriétés de son icône sur le bureau me donnent une datte de création qui correspond à celle de l'activation de l'infection. C'est un programme réellement de Windows ou juste un élément de l'infection?
Je peux dire tout de même que cette infection ma forcer a mieux comprendre les principes de sécurité sur le net. Entre autre de ne pas naviguer avec un droit d'administrateur!
Un tout petit programme qui, avec vos instructions, a pour ainsi dire tout replacer a la bonne place !
Merci beaucoup "moment de grace", vous portez très bien votre identifiant puisque que c'est exactement ce que l'on ressent quand tout redevient normal... :-)
Petite question: a la fin de cette infection il s'est déclenché automatiquement une fenêtre avec le nom de Windows Recovrery que j'ai bloqué. Je n'ai jamais utilisé auparavant ce Windows Recovrery et les propriétés de son icône sur le bureau me donnent une datte de création qui correspond à celle de l'activation de l'infection. C'est un programme réellement de Windows ou juste un élément de l'infection?
Je peux dire tout de même que cette infection ma forcer a mieux comprendre les principes de sécurité sur le net. Entre autre de ne pas naviguer avec un droit d'administrateur!
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
27 mars 2011 à 20:41
27 mars 2011 à 20:41
tu es toujours infecté
poste moi les rapports deroguekiller du 1 et 6 stp
poste moi les rapports deroguekiller du 1 et 6 stp
julienn da
Messages postés
34
Date d'inscription
samedi 26 mars 2011
Statut
Membre
Dernière intervention
16 juillet 2013
27 mars 2011 à 21:20
27 mars 2011 à 21:20
Woops...
C'était trop facile!
Voici les deux rapports
RogueKiller V4.3.4 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Pascal [Droits d'admin]
Mode: Recherche -- Date : 27/03/2011 13:41:19
Processus malicieux: 1
[APPDT/TMP/DESKTOP] V-Key.exe -- c:\documents and settings\pascal\application data\verbatim software\v-key.exe -> KILLED
Entrees de registre: 2
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : Store 'n' Go (C:\Documents and Settings\Pascal\Application Data\Verbatim Software\V-Key.exe) -> FOUND
[APPDT/TMP/DESKTOP] HKUS\S-1-5-21-1659004503-1993962763-839522115-1004[...]\Run : Store 'n' Go (C:\Documents and Settings\Pascal\Application Data\Verbatim Software\V-Key.exe) -> FOUND
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
--------------------------------------------------
RogueKiller V4.3.4 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Pascal [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 27/03/2011 13:46:02
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 68 / Fail 0
Lancement rapide: Success 6 / Fail 0
Programmes: Success 279 / Fail 0
Menu demarrer: Success 41 / Fail 0
Dossier utilisateur: Success 40 / Fail 6
Mes documents: Success 22931 / Fail 1
Mes favoris: Success 2051 / Fail 5
Mes images: Success 0 / Fail 1
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 0 / Fail 0
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
C'était trop facile!
Voici les deux rapports
RogueKiller V4.3.4 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Pascal [Droits d'admin]
Mode: Recherche -- Date : 27/03/2011 13:41:19
Processus malicieux: 1
[APPDT/TMP/DESKTOP] V-Key.exe -- c:\documents and settings\pascal\application data\verbatim software\v-key.exe -> KILLED
Entrees de registre: 2
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : Store 'n' Go (C:\Documents and Settings\Pascal\Application Data\Verbatim Software\V-Key.exe) -> FOUND
[APPDT/TMP/DESKTOP] HKUS\S-1-5-21-1659004503-1993962763-839522115-1004[...]\Run : Store 'n' Go (C:\Documents and Settings\Pascal\Application Data\Verbatim Software\V-Key.exe) -> FOUND
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
--------------------------------------------------
RogueKiller V4.3.4 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Pascal [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 27/03/2011 13:46:02
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 68 / Fail 0
Lancement rapide: Success 6 / Fail 0
Programmes: Success 279 / Fail 0
Menu demarrer: Success 41 / Fail 0
Dossier utilisateur: Success 40 / Fail 6
Mes documents: Success 22931 / Fail 1
Mes favoris: Success 2051 / Fail 5
Mes images: Success 0 / Fail 1
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 0 / Fail 0
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
julienn da
Messages postés
34
Date d'inscription
samedi 26 mars 2011
Statut
Membre
Dernière intervention
16 juillet 2013
28 mars 2011 à 19:12
28 mars 2011 à 19:12
Rogue killer option 2:
RogueKiller V4.3.4 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Pascal [Droits d'admin]
Mode: Suppression -- Date : 27/03/2011 16:06:02
Processus malicieux: 0
Entrees de registre: 1
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : Store 'n' Go (C:\Documents and Settings\Pascal\Application Data\Verbatim Software\V-Key.exe) -> DELETED
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
----------------------------------------------------
Le rapport de MalwareByte's, curieux, il y avait une infection détecté mais elle n'est pas visible dans le rapport qui suit. Je reprend l'examen ce soir (ici il est 13 heure).
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6186
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
27.03.2011 18:14:29
mbam-log-2011-03-27 (18-14-29).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 238914
Temps écoulé: 1 heure(s), 3 minute(s), 39 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
--------------------------------------------------------
Et le lien pour le scan ZHPDiag:
https://pjjoint.malekal.com/files.php?read=f14y8h7z12o14m14i14q13q14
RogueKiller V4.3.4 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Pascal [Droits d'admin]
Mode: Suppression -- Date : 27/03/2011 16:06:02
Processus malicieux: 0
Entrees de registre: 1
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : Store 'n' Go (C:\Documents and Settings\Pascal\Application Data\Verbatim Software\V-Key.exe) -> DELETED
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
----------------------------------------------------
Le rapport de MalwareByte's, curieux, il y avait une infection détecté mais elle n'est pas visible dans le rapport qui suit. Je reprend l'examen ce soir (ici il est 13 heure).
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6186
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
27.03.2011 18:14:29
mbam-log-2011-03-27 (18-14-29).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 238914
Temps écoulé: 1 heure(s), 3 minute(s), 39 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
--------------------------------------------------------
Et le lien pour le scan ZHPDiag:
https://pjjoint.malekal.com/files.php?read=f14y8h7z12o14m14i14q13q14
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
28 mars 2011 à 19:22
28 mars 2011 à 19:22
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(clic droit sur le lien ...enregistrer la cible du lien sous )
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(clic droit sur le lien ...enregistrer la cible du lien sous )
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
julienn da
Messages postés
34
Date d'inscription
samedi 26 mars 2011
Statut
Membre
Dernière intervention
16 juillet 2013
31 mars 2011 à 13:53
31 mars 2011 à 13:53
Voilà c'est fait, avec un peu de retard.
Avant de faire le scan de Combofix j'ai refais un scan rapide avec Malwarebyte qui n'a rien trouver. J'ai aussi fait un scan avec Spybot qui lui a trouvé deux "Fraud.WindowsRecovery".
Pendant le travail de Combofix une fenêtre s'est ouverte deux fois avec le message suivant:
« Il existe un fichier ou dossier nommé « C:\Program » sur votre ordinateur pouvant être à l'origine de dysfonctionnement pour certaines applications. Modifier son nom en «C:\program1» résoudrait le problème. Voulez-vous le renommer maintenant ?»
J'ai simplement fermé cette fenêtre qui avait les mêmes allures que celles générées par les virus.
Voici le rapport de Combofix:
ComboFix 11-03-30.01 - Pascal 30.03.2011 21:04:45.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.3071.2404 [GMT -4:00]
Lancé depuis: c:\documents and settings\Pascal\Bureau\ComboFix.exe
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Pascal\Application Data\PriceGong\Data\1.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\a.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\b.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\c.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\d.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\e.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\f.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\g.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\h.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\i.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\J.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\k.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\l.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\m.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\mru.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\n.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\o.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\p.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\q.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\r.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\s.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\t.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\u.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\v.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\w.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\x.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\y.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\z.xml
c:\documents and settings\Pascal\Menu Démarrer\Programmes\HDD Rescue\Uninstall HDD Rescue.lnk
c:\documents and settings\Pascal\Mes documents\iexplore.exe
C:\Install.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-28 au 2011-03-31 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-27 22:23 . 2011-03-27 22:23 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-03-23 11:43 . 2011-03-30 12:03 -------- d-----w- c:\documents and settings\Pascal\Application Data\PriceGong
2011-03-23 11:41 . 2011-03-23 11:41 7168 ----a-w- c:\windows\system32\drivers\utk0mtm4.sys
2011-03-23 05:47 . 2011-03-23 05:47 -------- d-----w- c:\windows\MATS
2011-03-23 05:47 . 2011-03-23 05:47 -------- d-----w- c:\program files\Microsoft Fix it Center
2011-03-23 05:38 . 2011-03-23 11:43 -------- d-----w- c:\documents and settings\Pascal\Local Settings\Application Data\Softonic_France
2011-03-23 05:38 . 2011-03-23 11:43 -------- d-----w- c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine
2011-03-23 05:38 . 2011-03-23 05:38 -------- d-----w- c:\program files\ConduitEngine
2011-03-23 05:38 . 2011-03-30 12:05 -------- d-----w- c:\program files\Softonic_France
2011-03-23 05:28 . 2011-03-23 05:28 -------- d-----w- c:\program files\RegTweaker
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-18 2735200]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France\tbSoft.dll" [2010-11-14 3913000]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-11-14 01:58 3913000 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
2010-11-14 01:58 3913000 ----a-w- c:\program files\Softonic_France\tbSoft.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
2010-12-18 14:16 2735200 ----a-w- c:\program files\Protection_ZoneAlarm\tbPro1.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-18 2735200]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France\tbSoft.dll" [2010-11-14 3913000]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-14 3913000]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-18 2735200]
"{4DAAC69C-CBA7-45E2-9BC8-1044483D3352}"= "c:\program files\Softonic_France\tbSoft.dll" [2010-11-14 3913000]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-14 3913000]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 1957888]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"InCD"="c:\program files\Ahead\InCD\InCD.exe" [2005-07-08 1397760]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 77824]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2006-09-22 793408]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2010-09-29 1043968]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-01-03 198160]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Pascal\Menu D'marrer\Programmes\D'marrage\
Barre d'outils Symbiose.lnk - c:\program files\Correcteur 101 pro v4\symbiose\symbiose.exe [2007-8-30 275968]
Enregistrement de printer Epson.lnk - d:\common\EpsonReg\EpsonReg.exe [N/A]
Icone Symbiose.lnk - c:\program files\Correcteur 101 pro v4\symbiose\IconeSym.exe [2007-8-30 27648]
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-4-6 110592]
ATI CATALYST System Tray.lnk - c:\program files\ATI Technologies\ATI.ACE\CLI.exe [2005-8-5 61440]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-6-6 528384]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
.
.
R0 mxroxv;mxroxv;c:\windows\System32\drivers\njcvcr.sys [x]
R0 prqddd;prqddd;c:\windows\System32\drivers\rwuul.sys [x]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 136176]
R2 HidCom;USB-HID -> COM Driver Service;c:\windows\system32\DRIVERS\HidCom.sys [2006-07-04 21016]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
R3 MatSvc;Microsoft Automated Troubleshooting Service;c:\program files\Microsoft Fix it Center\Matsvc.exe [2010-11-16 267568]
R3 RegKernelHelp;RegKernelHelp;c:\program files\Safe Returner\RegKernelHelp.sys [x]
R3 utk0mtm4;AVZ Kernel Driver;c:\windows\system32\Drivers\utk0mtm4.sys [2011-03-23 7168]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\program files\CheckPoint\ZAForceField\ISWKL.sys [2010-09-28 26872]
S2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\program files\CheckPoint\ZAForceField\IswSvc.exe [2010-09-28 493048]
S3 m4cxw2k3;NDIS5.1 Miniport Driver for D-Link PCI Express Ethernet Controller;c:\windows\system32\DRIVERS\m4cxw2k3.sys [2007-02-15 250752]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 17:00]
.
2011-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 17:00]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: &Translate English Word - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
IE: Backward Links - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Cached Snapshot of Page - c:\program files\google\GoogleToolbar2.dll/cmcache.html
IE: Download all with Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Download selected with Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Download with Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Similar Pages - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Translate Page into English - c:\program files\google\GoogleToolbar2.dll/cmtrans.html
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-30 21:13
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):0e,20,ac,09,d4,af,b1,d0,a0,b2,15,eb,7a,e8,1a,8c,fe,1f,71,a9,a0,
07,7e,7e,40,ac,2c,9b,27,25,f9,95,56,df,52,81,72,ff,9e,f2,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{d9733eaf-c4c6-4bb0-b074-72d689a4faf5}]
@Denied: (Full) (Everyone)
"Model"=dword:0000002e
"Therad"=dword:00000020
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,23,c8,48,59,29,3d,c8,e5,a1,dc,95,7b,71,fe,7a,d3,75,c0,90,48,62,87,\
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(408)
c:\windows\system32\Ati2evxx.dll
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
- - - - - - - > 'lsass.exe'(464)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
Heure de fin: 2011-03-30 21:15:20
ComboFix-quarantined-files.txt 2011-03-31 01:15
.
Avant-CF: 197'989'896'192 octets libres
Après-CF: 198'229'901'312 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect /usepmtimer
[spybotsd]
timeout.old=30
.
- - End Of File - - 4A69EAD9629DFAADB6B46A77CF54D04B
Avant de faire le scan de Combofix j'ai refais un scan rapide avec Malwarebyte qui n'a rien trouver. J'ai aussi fait un scan avec Spybot qui lui a trouvé deux "Fraud.WindowsRecovery".
Pendant le travail de Combofix une fenêtre s'est ouverte deux fois avec le message suivant:
« Il existe un fichier ou dossier nommé « C:\Program » sur votre ordinateur pouvant être à l'origine de dysfonctionnement pour certaines applications. Modifier son nom en «C:\program1» résoudrait le problème. Voulez-vous le renommer maintenant ?»
J'ai simplement fermé cette fenêtre qui avait les mêmes allures que celles générées par les virus.
Voici le rapport de Combofix:
ComboFix 11-03-30.01 - Pascal 30.03.2011 21:04:45.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.3071.2404 [GMT -4:00]
Lancé depuis: c:\documents and settings\Pascal\Bureau\ComboFix.exe
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Pascal\Application Data\PriceGong\Data\1.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\a.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\b.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\c.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\d.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\e.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\f.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\g.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\h.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\i.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\J.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\k.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\l.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\m.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\mru.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\n.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\o.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\p.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\q.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\r.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\s.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\t.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\u.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\v.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\w.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\x.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\y.xml
c:\documents and settings\Pascal\Application Data\PriceGong\Data\z.xml
c:\documents and settings\Pascal\Menu Démarrer\Programmes\HDD Rescue\Uninstall HDD Rescue.lnk
c:\documents and settings\Pascal\Mes documents\iexplore.exe
C:\Install.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-28 au 2011-03-31 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-27 22:23 . 2011-03-27 22:23 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-03-23 11:43 . 2011-03-30 12:03 -------- d-----w- c:\documents and settings\Pascal\Application Data\PriceGong
2011-03-23 11:41 . 2011-03-23 11:41 7168 ----a-w- c:\windows\system32\drivers\utk0mtm4.sys
2011-03-23 05:47 . 2011-03-23 05:47 -------- d-----w- c:\windows\MATS
2011-03-23 05:47 . 2011-03-23 05:47 -------- d-----w- c:\program files\Microsoft Fix it Center
2011-03-23 05:38 . 2011-03-23 11:43 -------- d-----w- c:\documents and settings\Pascal\Local Settings\Application Data\Softonic_France
2011-03-23 05:38 . 2011-03-23 11:43 -------- d-----w- c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine
2011-03-23 05:38 . 2011-03-23 05:38 -------- d-----w- c:\program files\ConduitEngine
2011-03-23 05:38 . 2011-03-30 12:05 -------- d-----w- c:\program files\Softonic_France
2011-03-23 05:28 . 2011-03-23 05:28 -------- d-----w- c:\program files\RegTweaker
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-18 2735200]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France\tbSoft.dll" [2010-11-14 3913000]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-11-14 01:58 3913000 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
2010-11-14 01:58 3913000 ----a-w- c:\program files\Softonic_France\tbSoft.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
2010-12-18 14:16 2735200 ----a-w- c:\program files\Protection_ZoneAlarm\tbPro1.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-18 2735200]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France\tbSoft.dll" [2010-11-14 3913000]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-14 3913000]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-18 2735200]
"{4DAAC69C-CBA7-45E2-9BC8-1044483D3352}"= "c:\program files\Softonic_France\tbSoft.dll" [2010-11-14 3913000]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-14 3913000]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 1957888]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"InCD"="c:\program files\Ahead\InCD\InCD.exe" [2005-07-08 1397760]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 77824]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2006-09-22 793408]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2010-09-29 1043968]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-01-03 198160]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Pascal\Menu D'marrer\Programmes\D'marrage\
Barre d'outils Symbiose.lnk - c:\program files\Correcteur 101 pro v4\symbiose\symbiose.exe [2007-8-30 275968]
Enregistrement de printer Epson.lnk - d:\common\EpsonReg\EpsonReg.exe [N/A]
Icone Symbiose.lnk - c:\program files\Correcteur 101 pro v4\symbiose\IconeSym.exe [2007-8-30 27648]
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-4-6 110592]
ATI CATALYST System Tray.lnk - c:\program files\ATI Technologies\ATI.ACE\CLI.exe [2005-8-5 61440]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-6-6 528384]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
.
.
R0 mxroxv;mxroxv;c:\windows\System32\drivers\njcvcr.sys [x]
R0 prqddd;prqddd;c:\windows\System32\drivers\rwuul.sys [x]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 136176]
R2 HidCom;USB-HID -> COM Driver Service;c:\windows\system32\DRIVERS\HidCom.sys [2006-07-04 21016]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
R3 MatSvc;Microsoft Automated Troubleshooting Service;c:\program files\Microsoft Fix it Center\Matsvc.exe [2010-11-16 267568]
R3 RegKernelHelp;RegKernelHelp;c:\program files\Safe Returner\RegKernelHelp.sys [x]
R3 utk0mtm4;AVZ Kernel Driver;c:\windows\system32\Drivers\utk0mtm4.sys [2011-03-23 7168]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\program files\CheckPoint\ZAForceField\ISWKL.sys [2010-09-28 26872]
S2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\program files\CheckPoint\ZAForceField\IswSvc.exe [2010-09-28 493048]
S3 m4cxw2k3;NDIS5.1 Miniport Driver for D-Link PCI Express Ethernet Controller;c:\windows\system32\DRIVERS\m4cxw2k3.sys [2007-02-15 250752]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 17:00]
.
2011-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 17:00]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: &Translate English Word - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
IE: Backward Links - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Cached Snapshot of Page - c:\program files\google\GoogleToolbar2.dll/cmcache.html
IE: Download all with Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Download selected with Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Download with Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Similar Pages - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Translate Page into English - c:\program files\google\GoogleToolbar2.dll/cmtrans.html
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-30 21:13
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):0e,20,ac,09,d4,af,b1,d0,a0,b2,15,eb,7a,e8,1a,8c,fe,1f,71,a9,a0,
07,7e,7e,40,ac,2c,9b,27,25,f9,95,56,df,52,81,72,ff,9e,f2,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{d9733eaf-c4c6-4bb0-b074-72d689a4faf5}]
@Denied: (Full) (Everyone)
"Model"=dword:0000002e
"Therad"=dword:00000020
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,23,c8,48,59,29,3d,c8,e5,a1,dc,95,7b,71,fe,7a,d3,75,c0,90,48,62,87,\
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(408)
c:\windows\system32\Ati2evxx.dll
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
- - - - - - - > 'lsass.exe'(464)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
Heure de fin: 2011-03-30 21:15:20
ComboFix-quarantined-files.txt 2011-03-31 01:15
.
Avant-CF: 197'989'896'192 octets libres
Après-CF: 198'229'901'312 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect /usepmtimer
[spybotsd]
timeout.old=30
.
- - End Of File - - 4A69EAD9629DFAADB6B46A77CF54D04B
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
Modifié par moment de grace le 31/03/2011 à 17:20
Modifié par moment de grace le 31/03/2011 à 17:20
1)
supprime manuellement C:\Program
2)
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
KillAll::
Driver::
mxroxv
prqddd
utk0mtm4
Folder::
c:\documents and settings\Pascal\Application Data\PriceGong
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine
c:\program files\ConduitEngine
Rootkit::
c:\windows\system32\drivers\utk0mtm4.sys
c:\windows\System32\drivers\njcvcr.sys
c:\windows\System32\drivers\rwuul.sys
c:\windows\system32\Drivers\utk0mtm4.sys
Registry::
[-HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[-HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[-HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
supprime manuellement C:\Program
2)
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
KillAll::
Driver::
mxroxv
prqddd
utk0mtm4
Folder::
c:\documents and settings\Pascal\Application Data\PriceGong
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine
c:\program files\ConduitEngine
Rootkit::
c:\windows\system32\drivers\utk0mtm4.sys
c:\windows\System32\drivers\njcvcr.sys
c:\windows\System32\drivers\rwuul.sys
c:\windows\system32\Drivers\utk0mtm4.sys
Registry::
[-HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[-HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[-HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
julienn da
Messages postés
34
Date d'inscription
samedi 26 mars 2011
Statut
Membre
Dernière intervention
16 juillet 2013
31 mars 2011 à 18:35
31 mars 2011 à 18:35
Comment on fait pour supprimer c:\Program ?
La seule méthode de suppression de programme que je connais est celle offerte dans le panneau de configuration et évidement on y retrouve pas ce programme.
La seule méthode de suppression de programme que je connais est celle offerte dans le panneau de configuration et évidement on y retrouve pas ce programme.
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
31 mars 2011 à 18:58
31 mars 2011 à 18:58
clic droit dessus
supprimer
supprimer
julienn da
Messages postés
34
Date d'inscription
samedi 26 mars 2011
Statut
Membre
Dernière intervention
16 juillet 2013
31 mars 2011 à 19:30
31 mars 2011 à 19:30
Le hic c'est que je n'ai aucune idée ou se trouve ce programme.
J'ai donc fait une recherche qui ne m'a donné qu'un c:\ avec une taille de zéro mais avec une modification au 27 mars, et je l'ai supprimé.
J'ai donc fait une recherche qui ne m'a donné qu'un c:\ avec une taille de zéro mais avec une modification au 27 mars, et je l'ai supprimé.
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
31 mars 2011 à 19:57
31 mars 2011 à 19:57
c'est ca...
tu peux continuer
tu peux continuer
julienn da
Messages postés
34
Date d'inscription
samedi 26 mars 2011
Statut
Membre
Dernière intervention
16 juillet 2013
31 mars 2011 à 22:52
31 mars 2011 à 22:52
ComboFix 11-03-30.01 - Pascal 31.03.2011 13:32:54.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.3071.2418 [GMT -4:00]
Lancé depuis: c:\documents and settings\Pascal\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Pascal\Bureau\CFScript.txt
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Pascal\Application Data\PriceGong
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_32_243_CT2431232_Images_634120316644468750_gif.gif
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_About_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Browse_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Contact_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Hide_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_Conduit_com_bankImages_ConduitEngine_ContextMenu_LikeIcon_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_More_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_MoreFromPublisher_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_MoveLeft_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_MoveRight_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Options_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Privacy_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Refresh_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Share_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Upgrade_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\EngineSettings.json
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\ExternalComponent\http___contextmenu_app_conduit-services_com_apps_TranslatedApps_ashx_productId=1&name=appContextMenu&locale=fr-ch.xml
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\ExternalComponent\http___contextmenu_app_conduit-services_com_apps_TranslatedApps_ashx_productId=1&name=appContextMenu2_0&locale=fr-ch.xml
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\ExternalComponent\http___contextmenu_engine_conduit-services_com_apps_TranslatedApps_ashx_productId=1&name=engineContextMenu&locale=fr-ch.xml
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\ExternalComponent\http___contextmenu_engine_conduit-services_com_apps_TranslatedApps_ashx_productId=1&name=engineContextMenu2_0&locale=fr-ch.xml
c:\documents and settings\Pascal\Menu Démarrer\Programmes\HDD Rescue
c:\program files\ConduitEngine
c:\program files\ConduitEngine\appContextMenu.xml
c:\program files\ConduitEngine\ConduitEngine.dll
c:\program files\ConduitEngine\ConduitEngineHelper.exe
c:\program files\ConduitEngine\ConduitEngineUninstall.exe
c:\program files\ConduitEngine\engineContextMenu.xml
c:\program files\ConduitEngine\EngineSettings.json
c:\program files\ConduitEngine\INSTALL.LOG
c:\program files\ConduitEngine\toolbar.cfg
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_UTK0MTM4
-------\Service_mxroxv
-------\Service_prqddd
-------\Service_utk0mtm4
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-28 au 2011-03-31 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-27 22:23 . 2011-03-27 22:23 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-03-23 11:41 . 2011-03-23 11:41 7168 ----a-w- c:\windows\system32\drivers\utk0mtm4.sys
2011-03-23 05:47 . 2011-03-23 05:47 -------- d-----w- c:\windows\MATS
2011-03-23 05:47 . 2011-03-23 05:47 -------- d-----w- c:\program files\Microsoft Fix it Center
2011-03-23 05:38 . 2011-03-23 11:43 -------- d-----w- c:\documents and settings\Pascal\Local Settings\Application Data\Softonic_France
2011-03-23 05:38 . 2011-03-30 12:05 -------- d-----w- c:\program files\Softonic_France
2011-03-23 05:28 . 2011-03-23 05:28 -------- d-----w- c:\program files\RegTweaker
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-18 2735200]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
2010-12-18 14:16 2735200 ----a-w- c:\program files\Protection_ZoneAlarm\tbPro1.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-18 2735200]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-18 2735200]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 1957888]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"InCD"="c:\program files\Ahead\InCD\InCD.exe" [2005-07-08 1397760]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 77824]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2006-09-22 793408]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2010-09-29 1043968]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-01-03 198160]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Pascal\Menu D'marrer\Programmes\D'marrage\
Barre d'outils Symbiose.lnk - c:\program files\Correcteur 101 pro v4\symbiose\symbiose.exe [2007-8-30 275968]
Enregistrement de printer Epson.lnk - d:\common\EpsonReg\EpsonReg.exe [N/A]
Icone Symbiose.lnk - c:\program files\Correcteur 101 pro v4\symbiose\IconeSym.exe [2007-8-30 27648]
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-4-6 110592]
ATI CATALYST System Tray.lnk - c:\program files\ATI Technologies\ATI.ACE\CLI.exe [2005-8-5 61440]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-6-6 528384]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
.
.
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 136176]
R2 HidCom;USB-HID -> COM Driver Service;c:\windows\system32\DRIVERS\HidCom.sys [2006-07-04 21016]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
R3 m4cxw2k3;NDIS5.1 Miniport Driver for D-Link PCI Express Ethernet Controller;c:\windows\system32\DRIVERS\m4cxw2k3.sys [2007-02-15 250752]
R3 MatSvc;Microsoft Automated Troubleshooting Service;c:\program files\Microsoft Fix it Center\Matsvc.exe [2010-11-16 267568]
R3 RegKernelHelp;RegKernelHelp;c:\program files\Safe Returner\RegKernelHelp.sys [x]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\program files\CheckPoint\ZAForceField\ISWKL.sys [2010-09-28 26872]
S2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\program files\CheckPoint\ZAForceField\IswSvc.exe [2010-09-28 493048]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 17:00]
.
2011-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 17:00]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: &Translate English Word - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
IE: Backward Links - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Cached Snapshot of Page - c:\program files\google\GoogleToolbar2.dll/cmcache.html
IE: Download all with Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Download selected with Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Download with Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Similar Pages - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Translate Page into English - c:\program files\google\GoogleToolbar2.dll/cmtrans.html
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-conduitEngine - c:\progra~1\CONDUI~1\ConduitEngineUninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-31 16:45
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):0e,20,ac,09,d4,af,b1,d0,a0,b2,15,eb,7a,e8,1a,8c,fe,1f,71,a9,a0,
07,7e,7e,40,ac,2c,9b,27,25,f9,95,56,df,52,81,72,ff,9e,f2,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{d9733eaf-c4c6-4bb0-b074-72d689a4faf5}]
@Denied: (Full) (Everyone)
"Model"=dword:0000002e
"Therad"=dword:00000020
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,23,c8,48,59,29,3d,c8,e5,a1,dc,95,7b,71,fe,7a,d3,75,c0,90,48,62,87,\
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(404)
c:\windows\system32\Ati2evxx.dll
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
- - - - - - - > 'lsass.exe'(460)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
- - - - - - - > 'explorer.exe'(2248)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
c:\program files\Logitech\SetPoint\KEMHook.dll
c:\program files\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Ahead\InCD\InCDsrv.exe
c:\program files\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\windows\system32\PSIService.exe
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wscntfy.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
c:\program files\OpenOffice.org 2.3\program\soffice.exe
c:\program files\OpenOffice.org 2.3\program\soffice.BIN
.
**************************************************************************
.
Heure de fin: 2011-03-31 16:48:35 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-03-31 20:48
ComboFix2.txt 2011-03-31 01:15
.
Avant-CF: 198'153'015'296 octets libres
Après-CF: 198'087'999'488 octets libres
.
- - End Of File - - 8F8D71EE0E9C954092DD894D30583A92
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.3071.2418 [GMT -4:00]
Lancé depuis: c:\documents and settings\Pascal\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Pascal\Bureau\CFScript.txt
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Pascal\Application Data\PriceGong
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_32_243_CT2431232_Images_634120316644468750_gif.gif
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_About_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Browse_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Contact_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Hide_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_Conduit_com_bankImages_ConduitEngine_ContextMenu_LikeIcon_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_More_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_MoreFromPublisher_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_MoveLeft_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_MoveRight_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Options_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Privacy_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Refresh_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Share_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\CacheIcons\http___storage_conduit_com_bankImages_ConduitEngine_ContextMenu_Upgrade_png.png
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\EngineSettings.json
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\ExternalComponent\http___contextmenu_app_conduit-services_com_apps_TranslatedApps_ashx_productId=1&name=appContextMenu&locale=fr-ch.xml
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\ExternalComponent\http___contextmenu_app_conduit-services_com_apps_TranslatedApps_ashx_productId=1&name=appContextMenu2_0&locale=fr-ch.xml
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\ExternalComponent\http___contextmenu_engine_conduit-services_com_apps_TranslatedApps_ashx_productId=1&name=engineContextMenu&locale=fr-ch.xml
c:\documents and settings\Pascal\Local Settings\Application Data\ConduitEngine\ExternalComponent\http___contextmenu_engine_conduit-services_com_apps_TranslatedApps_ashx_productId=1&name=engineContextMenu2_0&locale=fr-ch.xml
c:\documents and settings\Pascal\Menu Démarrer\Programmes\HDD Rescue
c:\program files\ConduitEngine
c:\program files\ConduitEngine\appContextMenu.xml
c:\program files\ConduitEngine\ConduitEngine.dll
c:\program files\ConduitEngine\ConduitEngineHelper.exe
c:\program files\ConduitEngine\ConduitEngineUninstall.exe
c:\program files\ConduitEngine\engineContextMenu.xml
c:\program files\ConduitEngine\EngineSettings.json
c:\program files\ConduitEngine\INSTALL.LOG
c:\program files\ConduitEngine\toolbar.cfg
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_UTK0MTM4
-------\Service_mxroxv
-------\Service_prqddd
-------\Service_utk0mtm4
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-28 au 2011-03-31 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-27 22:23 . 2011-03-27 22:23 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-03-23 11:41 . 2011-03-23 11:41 7168 ----a-w- c:\windows\system32\drivers\utk0mtm4.sys
2011-03-23 05:47 . 2011-03-23 05:47 -------- d-----w- c:\windows\MATS
2011-03-23 05:47 . 2011-03-23 05:47 -------- d-----w- c:\program files\Microsoft Fix it Center
2011-03-23 05:38 . 2011-03-23 11:43 -------- d-----w- c:\documents and settings\Pascal\Local Settings\Application Data\Softonic_France
2011-03-23 05:38 . 2011-03-30 12:05 -------- d-----w- c:\program files\Softonic_France
2011-03-23 05:28 . 2011-03-23 05:28 -------- d-----w- c:\program files\RegTweaker
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-18 2735200]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
2010-12-18 14:16 2735200 ----a-w- c:\program files\Protection_ZoneAlarm\tbPro1.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-18 2735200]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}"= "c:\program files\Protection_ZoneAlarm\tbPro1.dll" [2010-12-18 2735200]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 1957888]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"InCD"="c:\program files\Ahead\InCD\InCD.exe" [2005-07-08 1397760]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 77824]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2006-09-22 793408]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2010-09-29 1043968]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-01-03 198160]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Pascal\Menu D'marrer\Programmes\D'marrage\
Barre d'outils Symbiose.lnk - c:\program files\Correcteur 101 pro v4\symbiose\symbiose.exe [2007-8-30 275968]
Enregistrement de printer Epson.lnk - d:\common\EpsonReg\EpsonReg.exe [N/A]
Icone Symbiose.lnk - c:\program files\Correcteur 101 pro v4\symbiose\IconeSym.exe [2007-8-30 27648]
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-4-6 110592]
ATI CATALYST System Tray.lnk - c:\program files\ATI Technologies\ATI.ACE\CLI.exe [2005-8-5 61440]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-6-6 528384]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
.
.
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 136176]
R2 HidCom;USB-HID -> COM Driver Service;c:\windows\system32\DRIVERS\HidCom.sys [2006-07-04 21016]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
R3 m4cxw2k3;NDIS5.1 Miniport Driver for D-Link PCI Express Ethernet Controller;c:\windows\system32\DRIVERS\m4cxw2k3.sys [2007-02-15 250752]
R3 MatSvc;Microsoft Automated Troubleshooting Service;c:\program files\Microsoft Fix it Center\Matsvc.exe [2010-11-16 267568]
R3 RegKernelHelp;RegKernelHelp;c:\program files\Safe Returner\RegKernelHelp.sys [x]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\program files\CheckPoint\ZAForceField\ISWKL.sys [2010-09-28 26872]
S2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\program files\CheckPoint\ZAForceField\IswSvc.exe [2010-09-28 493048]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 17:00]
.
2011-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 17:00]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: &Translate English Word - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
IE: Backward Links - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Cached Snapshot of Page - c:\program files\google\GoogleToolbar2.dll/cmcache.html
IE: Download all with Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Download selected with Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Download with Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Similar Pages - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Translate Page into English - c:\program files\google\GoogleToolbar2.dll/cmtrans.html
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-conduitEngine - c:\progra~1\CONDUI~1\ConduitEngineUninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-31 16:45
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):0e,20,ac,09,d4,af,b1,d0,a0,b2,15,eb,7a,e8,1a,8c,fe,1f,71,a9,a0,
07,7e,7e,40,ac,2c,9b,27,25,f9,95,56,df,52,81,72,ff,9e,f2,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{d9733eaf-c4c6-4bb0-b074-72d689a4faf5}]
@Denied: (Full) (Everyone)
"Model"=dword:0000002e
"Therad"=dword:00000020
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,23,c8,48,59,29,3d,c8,e5,a1,dc,95,7b,71,fe,7a,d3,75,c0,90,48,62,87,\
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(404)
c:\windows\system32\Ati2evxx.dll
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
- - - - - - - > 'lsass.exe'(460)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
- - - - - - - > 'explorer.exe'(2248)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
c:\program files\Logitech\SetPoint\KEMHook.dll
c:\program files\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Ahead\InCD\InCDsrv.exe
c:\program files\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\windows\system32\PSIService.exe
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wscntfy.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
c:\program files\OpenOffice.org 2.3\program\soffice.exe
c:\program files\OpenOffice.org 2.3\program\soffice.BIN
.
**************************************************************************
.
Heure de fin: 2011-03-31 16:48:35 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-03-31 20:48
ComboFix2.txt 2011-03-31 01:15
.
Avant-CF: 198'153'015'296 octets libres
Après-CF: 198'087'999'488 octets libres
.
- - End Of File - - 8F8D71EE0E9C954092DD894D30583A92
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
1 avril 2011 à 05:58
1 avril 2011 à 05:58
Télécharge The Avenger sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
--> Dézippe le fichier avenger.zip (Clique droit > Extraire).
--> Ferme toutes les fenêtres et toutes les applications en cours et double-clique sur l'icône avenger (Icône avec l'épée).
--> Clique sur OK pour accepter les termes d'utilisation.
. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Drivers to disable:
utk0mtm4
Drivers to delete:
utk0mtm4
Files to delete:
c:\windows\system32\drivers\utk0mtm4.sys
. Colle ce texte (Ctrl+V) dans le cadre :Input script here
. Appuie sur Execute
. Le pc va redémarrer
Si le rapport ne s'affiche pas, il se trouve dans C:\ avenger
Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
--> Dézippe le fichier avenger.zip (Clique droit > Extraire).
--> Ferme toutes les fenêtres et toutes les applications en cours et double-clique sur l'icône avenger (Icône avec l'épée).
--> Clique sur OK pour accepter les termes d'utilisation.
. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Drivers to disable:
utk0mtm4
Drivers to delete:
utk0mtm4
Files to delete:
c:\windows\system32\drivers\utk0mtm4.sys
. Colle ce texte (Ctrl+V) dans le cadre :Input script here
. Appuie sur Execute
. Le pc va redémarrer
Si le rapport ne s'affiche pas, il se trouve dans C:\ avenger
Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html
julienn da
Messages postés
34
Date d'inscription
samedi 26 mars 2011
Statut
Membre
Dernière intervention
16 juillet 2013
1 avril 2011 à 13:27
1 avril 2011 à 13:27
Voilà
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not open driver "utk0mtm4"
Disablement of driver "utk0mtm4" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\utk0mtm4" not found!
Deletion of driver "utk0mtm4" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "c:\windows\system32\drivers\utk0mtm4.sys" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not open driver "utk0mtm4"
Disablement of driver "utk0mtm4" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\utk0mtm4" not found!
Deletion of driver "utk0mtm4" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "c:\windows\system32\drivers\utk0mtm4.sys" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
1 avril 2011 à 17:08
1 avril 2011 à 17:08
Fais un nouveau rapport ZHPdiag stp
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
julienn da
Messages postés
34
Date d'inscription
samedi 26 mars 2011
Statut
Membre
Dernière intervention
16 juillet 2013
1 avril 2011 à 18:32
1 avril 2011 à 18:32
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
1 avril 2011 à 18:45
1 avril 2011 à 18:45
ok
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\utk0mtm4.sys - AVZ Kernel Driver (utk0mtm4) .(.Pas de propriétaire - AVZ Driver.) - LEGACY_UTK0MTM4
[HKCU\Software\PriceGong]
[HKLM\Software\PandoBar]
O43 - CFD: 23.03.2011 - 07:43:20 - [1754360] ----D- C:\Documents and Settings\Pascal\Application Data\PriceGong
O44 - LFC:[MD5.524D8D450622DB4A7875B111C299A76B] - 23.03.2011 - 06:41:27 ---A- . (.Pas de propriétaire - AVZ Driver.) -- C:\WINDOWS\System32\drivers\utk0mtm4.sys [7168]
O58 - SDL:[MD5.524D8D450622DB4A7875B111C299A76B] - 23.03.2011 - 06:41:27 ---A- . (.Pas de propriétaire - AVZ Driver.) -- C:\WINDOWS\system32\drivers\utk0mtm4.sys [7168]
[HKLM\Software\Classes\Toolbar.CT2613520]
C:\Documents and Settings\Pascal\Application Data\\PriceGong
R3 - URLSearchHook: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 4, 0) -- C:\Program Files\Protection_ZoneAlarm\tbPro1.dll
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.3.0) -- C:\Program Files\Softonic_France\tbSoft.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll
O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll
O2 - BHO: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\tbPro1.dll
O3 - Toolbar: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\tbPro1.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] -- conduitEngine
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar
[HKCU\Software\Conduit]
[HKCU\Software\conduitEngine]
[HKLM\Software\Conduit]
[HKLM\Software\ZoneAlarmSB]
O43 - CFD: 12.11.2010 - 20:11:40 - [1064128] ----D- C:\Program Files\Conduit
O43 - CFD: 23.03.2011 - 01:38:10 - [3989042] ----D- C:\Program Files\ConduitEngine
O43 - CFD: 16.12.2007 - 21:49:40 - [583711] ----D- C:\Program Files\ZoneAlarmSB
O43 - CFD: 12.11.2010 - 20:20:16 - [28004] --H-D- C:\Documents and Settings\Pascal\Local Settings\Application Data\Conduit
O43 - CFD: 23.03.2011 - 07:43:10 - [35447] ----D- C:\Documents and Settings\Pascal\Local Settings\Application Data\ConduitEngine
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKLM\Software\Classes\Conduit.Engine]
[HKLM\Software\Classes\Toolbar.CT2542115]
[HKLM\Software\Conduit]
[HKLM\Software\conduitEngine]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] -- conduitEngine
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar
[HKCU\Software\Conduit]
[HKCU\Software\Conduit]
[HKCU\Software\conduitEngine]
[HKCU\Software\conduitEngine]
[HKLM\Software\Conduit]
[HKLM\Software\Conduit]
[HKLM\Software\ZoneAlarmSB]
[HKLM\Software\ZoneAlarmSB]
O43 - CFD: 12.11.2010 - 20:11:40 - [1064128] ----D- C:\Program Files\Conduit
O43 - CFD: 23.03.2011 - 01:38:10 - [3989042] ----D- C:\Program Files\ConduitEngine
O43 - CFD: 16.12.2007 - 21:49:40 - [583711] ----D- C:\Program Files\ZoneAlarmSB
O43 - CFD: 12.11.2010 - 20:20:16 - [28004] --H-D- C:\Documents and Settings\Pascal\Local Settings\Application Data\Conduit
O43 - CFD: 23.03.2011 - 07:43:10 - [35447] ----D- C:\Documents and Settings\Pascal\Local Settings\Application Data\ConduitEngine
O43 - CFD: 12.11.2010 - 20:11:40 - [1064128] ----D- C:\Program Files\Conduit
O43 - CFD: 23.03.2011 - 01:38:10 - [3989042] ----D- C:\Program Files\ConduitEngine
O43 - CFD: 16.12.2007 - 21:49:40 - [583711] ----D- C:\Program Files\ZoneAlarmSB
O43 - CFD: 12.11.2010 - 20:20:16 - [28004] --H-D- C:\Documents and Settings\Pascal\Local Settings\Application Data\Conduit
O43 - CFD: 23.03.2011 - 07:43:10 - [35447] ----D- C:\Documents and Settings\Pascal\Local Settings\Application Data\ConduitEngine
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKLM\Software\Classes\Conduit.Engine]
[HKLM\Software\Classes\Toolbar.CT2542115]
[HKLM\Software\Conduit]
[HKLM\Software\conduitEngine]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKLM\Software\Classes\Conduit.Engine]
[HKLM\Software\Classes\Toolbar.CT2542115]
[HKLM\Software\Conduit]
[HKLM\Software\conduitEngine]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert ,
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
____________
2)
redemarre le pc et dis moi si tu as encore des soucis
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\utk0mtm4.sys - AVZ Kernel Driver (utk0mtm4) .(.Pas de propriétaire - AVZ Driver.) - LEGACY_UTK0MTM4
[HKCU\Software\PriceGong]
[HKLM\Software\PandoBar]
O43 - CFD: 23.03.2011 - 07:43:20 - [1754360] ----D- C:\Documents and Settings\Pascal\Application Data\PriceGong
O44 - LFC:[MD5.524D8D450622DB4A7875B111C299A76B] - 23.03.2011 - 06:41:27 ---A- . (.Pas de propriétaire - AVZ Driver.) -- C:\WINDOWS\System32\drivers\utk0mtm4.sys [7168]
O58 - SDL:[MD5.524D8D450622DB4A7875B111C299A76B] - 23.03.2011 - 06:41:27 ---A- . (.Pas de propriétaire - AVZ Driver.) -- C:\WINDOWS\system32\drivers\utk0mtm4.sys [7168]
[HKLM\Software\Classes\Toolbar.CT2613520]
C:\Documents and Settings\Pascal\Application Data\\PriceGong
R3 - URLSearchHook: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 4, 0) -- C:\Program Files\Protection_ZoneAlarm\tbPro1.dll
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.3.0) -- C:\Program Files\Softonic_France\tbSoft.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll
O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll
O2 - BHO: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\tbPro1.dll
O3 - Toolbar: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\tbPro1.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] -- conduitEngine
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar
[HKCU\Software\Conduit]
[HKCU\Software\conduitEngine]
[HKLM\Software\Conduit]
[HKLM\Software\ZoneAlarmSB]
O43 - CFD: 12.11.2010 - 20:11:40 - [1064128] ----D- C:\Program Files\Conduit
O43 - CFD: 23.03.2011 - 01:38:10 - [3989042] ----D- C:\Program Files\ConduitEngine
O43 - CFD: 16.12.2007 - 21:49:40 - [583711] ----D- C:\Program Files\ZoneAlarmSB
O43 - CFD: 12.11.2010 - 20:20:16 - [28004] --H-D- C:\Documents and Settings\Pascal\Local Settings\Application Data\Conduit
O43 - CFD: 23.03.2011 - 07:43:10 - [35447] ----D- C:\Documents and Settings\Pascal\Local Settings\Application Data\ConduitEngine
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKLM\Software\Classes\Conduit.Engine]
[HKLM\Software\Classes\Toolbar.CT2542115]
[HKLM\Software\Conduit]
[HKLM\Software\conduitEngine]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] -- conduitEngine
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar
[HKCU\Software\Conduit]
[HKCU\Software\Conduit]
[HKCU\Software\conduitEngine]
[HKCU\Software\conduitEngine]
[HKLM\Software\Conduit]
[HKLM\Software\Conduit]
[HKLM\Software\ZoneAlarmSB]
[HKLM\Software\ZoneAlarmSB]
O43 - CFD: 12.11.2010 - 20:11:40 - [1064128] ----D- C:\Program Files\Conduit
O43 - CFD: 23.03.2011 - 01:38:10 - [3989042] ----D- C:\Program Files\ConduitEngine
O43 - CFD: 16.12.2007 - 21:49:40 - [583711] ----D- C:\Program Files\ZoneAlarmSB
O43 - CFD: 12.11.2010 - 20:20:16 - [28004] --H-D- C:\Documents and Settings\Pascal\Local Settings\Application Data\Conduit
O43 - CFD: 23.03.2011 - 07:43:10 - [35447] ----D- C:\Documents and Settings\Pascal\Local Settings\Application Data\ConduitEngine
O43 - CFD: 12.11.2010 - 20:11:40 - [1064128] ----D- C:\Program Files\Conduit
O43 - CFD: 23.03.2011 - 01:38:10 - [3989042] ----D- C:\Program Files\ConduitEngine
O43 - CFD: 16.12.2007 - 21:49:40 - [583711] ----D- C:\Program Files\ZoneAlarmSB
O43 - CFD: 12.11.2010 - 20:20:16 - [28004] --H-D- C:\Documents and Settings\Pascal\Local Settings\Application Data\Conduit
O43 - CFD: 23.03.2011 - 07:43:10 - [35447] ----D- C:\Documents and Settings\Pascal\Local Settings\Application Data\ConduitEngine
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKLM\Software\Classes\Conduit.Engine]
[HKLM\Software\Classes\Toolbar.CT2542115]
[HKLM\Software\Conduit]
[HKLM\Software\conduitEngine]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKLM\Software\Classes\Conduit.Engine]
[HKLM\Software\Classes\Toolbar.CT2542115]
[HKLM\Software\Conduit]
[HKLM\Software\conduitEngine]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert ,
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
____________
2)
redemarre le pc et dis moi si tu as encore des soucis
julienn da
Messages postés
34
Date d'inscription
samedi 26 mars 2011
Statut
Membre
Dernière intervention
16 juillet 2013
1 avril 2011 à 19:12
1 avril 2011 à 19:12
Je n'ai pas eu d'autres troubles depuis que j'ai retrouvé mes liens et favoris, sinon que sous l'onglet Démarrer il n'y a plus le bouton de la mise a jour de Windows. Je navigue sur le web depuis plus de dix ans et mon premier trouble visible avec un virus était en novembre dernier, et cette fois-ci qui était probablement dû à un mauvais nettoyage en novembre. Je présume aussi que ces infections peuvent être liées au fait que j'ai un branchement internet haute-vitesse depuis cette automne.
Voici le dernier rapport:
Rapport de ZHPFix 1.12.3265 par Nicolas Coolman, Update du 27/03/2011
Fichier d'export Registre :
Run by Pascal at 01.04.2011 12:55:09
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\utk0mtm4.sys - AVZ Kernel Driver (utk0mtm4) .(.Pas de propriétaire - AVZ Driver.) - LEGACY_UTK0MTM4 => Clé absente
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll => Clé absente
O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll => Clé absente
O2 - BHO: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\tbPro1.dll => Clé absente
========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 4, 0) -- C:\Program Files\Protection_ZoneAlarm\tbPro1.dll => Valeur supprimée avec succès
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.3.0) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
O3 - Toolbar: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\tbPro1.dll => Valeur supprimée avec succès
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll => Valeur absente
========== Dossier(s) ==========
C:\Documents and Settings\Pascal\Application Data\PriceGong => Dossier absent
C:\Program Files\Conduit => Fichier supprimé au reboot
C:\Program Files\ConduitEngine => Dossier absent
C:\Program Files\ZoneAlarmSB => Fichier supprimé au reboot
C:\Documents and Settings\Pascal\Local Settings\Application Data\Conduit => Fichier supprimé au reboot
C:\Documents and Settings\Pascal\Local Settings\Application Data\ConduitEngine => Dossier absent
========== Fichier(s) ==========
c:\windows\system32\drivers\utk0mtm4.sys => Fichier absent
c:\documents and settings\pascal\application data\\pricegong => Fichier absent
c:\program files\protection_zonealarm\tbpro1.dll => Supprimé et mis en quarantaine
c:\program files\softonic_france\tbsoft.dll => Supprimé et mis en quarantaine
c:\program files\conduitengine\conduitengine.dll => Fichier absent
========== Logiciel(s) ==========
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] -- conduitEngine => Logiciel déjà supprimé
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar => Logiciel déjà supprimé
========== Récapitulatif ==========
4 : Clé(s) du Registre
5 : Valeur(s) du Registre
6 : Dossier(s)
5 : Fichier(s)
2 : Logiciel(s)
End of the scan
Voici le dernier rapport:
Rapport de ZHPFix 1.12.3265 par Nicolas Coolman, Update du 27/03/2011
Fichier d'export Registre :
Run by Pascal at 01.04.2011 12:55:09
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\utk0mtm4.sys - AVZ Kernel Driver (utk0mtm4) .(.Pas de propriétaire - AVZ Driver.) - LEGACY_UTK0MTM4 => Clé absente
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll => Clé absente
O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll => Clé absente
O2 - BHO: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\tbPro1.dll => Clé absente
========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 4, 0) -- C:\Program Files\Protection_ZoneAlarm\tbPro1.dll => Valeur supprimée avec succès
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.3.0) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
O3 - Toolbar: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\tbPro1.dll => Valeur supprimée avec succès
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll => Valeur absente
========== Dossier(s) ==========
C:\Documents and Settings\Pascal\Application Data\PriceGong => Dossier absent
C:\Program Files\Conduit => Fichier supprimé au reboot
C:\Program Files\ConduitEngine => Dossier absent
C:\Program Files\ZoneAlarmSB => Fichier supprimé au reboot
C:\Documents and Settings\Pascal\Local Settings\Application Data\Conduit => Fichier supprimé au reboot
C:\Documents and Settings\Pascal\Local Settings\Application Data\ConduitEngine => Dossier absent
========== Fichier(s) ==========
c:\windows\system32\drivers\utk0mtm4.sys => Fichier absent
c:\documents and settings\pascal\application data\\pricegong => Fichier absent
c:\program files\protection_zonealarm\tbpro1.dll => Supprimé et mis en quarantaine
c:\program files\softonic_france\tbsoft.dll => Supprimé et mis en quarantaine
c:\program files\conduitengine\conduitengine.dll => Fichier absent
========== Logiciel(s) ==========
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] -- conduitEngine => Logiciel déjà supprimé
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar => Logiciel déjà supprimé
========== Récapitulatif ==========
4 : Clé(s) du Registre
5 : Valeur(s) du Registre
6 : Dossier(s)
5 : Fichier(s)
2 : Logiciel(s)
End of the scan
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
1 avril 2011 à 19:49
1 avril 2011 à 19:49
as tu redemarrer ?
de plus essaies ca
Télécharge Zeb Restore
http://telechargement.zebulon.fr/zeb-restore.html
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.
Voici les éléments qui peuvent être restaurés : coche les lignes en gras
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le Bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts
de plus essaies ca
Télécharge Zeb Restore
http://telechargement.zebulon.fr/zeb-restore.html
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.
Voici les éléments qui peuvent être restaurés : coche les lignes en gras
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le Bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts