Infection sur mon elevage de disques durs

Résolu/Fermé
MeLOoooo.... Messages postés 10 Statut Membre -  
 M@thew -
Bonjour,
Tout est dit dans le titre...
Je poste ici suite à un scan d'Usbfix. On me conseille de prendre avis sur le forum avant de passer à l'option suppression....
Voici le rapport :

############################## | UsbFix 7.046 | [Recherche]

Utilisateur: Admin (Administrateur) # ORDI_XP [ ]
Mis à jour le 23/05/2011 par TeamXscript
Lancé à 12:54:30 | 23/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Pentium(R) Dual-Core CPU E5300 @ 2.60GHz
CPU 2: Pentium(R) Dual-Core CPU E5300 @ 2.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 10.0.1.58 [(!) Disabled | Updated]
Firewall: COMODO Firewall 3.9 [Enabled]
RAM -> 3071 Mo
C:\ (%systemdrive%) -> Disque fixe # 466 Go (448 Go libre(s) - 96%) [] # NTFS
D:\ -> Disque fixe # 298 Go (222 Go libre(s) - 75%) [Datas] # NTFS
I:\ -> CD-ROM
J:\ -> CD-ROM
K:\ -> Disque fixe # 466 Go (29 Go libre(s) - 6%) [MyDrive] # NTFS
L:\ -> Disque fixe # 932 Go (42 Go libre(s) - 4%) [Aec_Mydrive] # NTFS
M:\ -> Disque amovible # 15 Go (0 Mo libre(s) - 0%) [STORE N GO] # FAT32
N:\ -> Disque fixe # 932 Go (79 Go libre(s) - 8%) [Iomega HDD] # NTFS
O:\ -> Disque fixe # 1863 Go (585 Go libre(s) - 31%) [GRioTTe] # NTFS

################## | Éléments infectieux |

Présent! C:\DOCUME~1\Admin\LOCALS~1\Temp\_ir_tmpfnt_1
Présent! L:\._autorun.inf
Présent! L:\msvcr71.dll
Présent! M:\AUTORUN.INF
Présent! O:\._autorun.inf
Présent! O:\autorun.inf

################## | Registre |

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoSMHelp

################## | Mountpoints2 |

################## | Vaccin |

C:\autorun.inf -> Vaccin créé par Flash_Disinfector (sUBs)
D:\autorun.inf -> Vaccin créé par Flash_Disinfector (sUBs)
K:\autorun.inf -> Vaccin créé par Flash_Disinfector (sUBs)
L:\autorun.inf -> Vaccin créé par Flash_Disinfector (sUBs)
M:\Autorun.inf -> Vaccin créé par Panda USB Vaccine
N:\autorun.inf -> Vaccin créé par Flash_Disinfector (sUBs)
O:\Autorun.inf -> Vaccin créé par Panda USB Vaccine

################## | E.O.F |

9 réponses

  1. gen-hackman
     
    salut fais suppression puis poste le rapport
    0
    1. MeLOoooo.... Messages postés 10 Statut Membre
       
      Voici le rapport après suppression :

      ############################## | UsbFix 7.046 | [Suppression]

      Utilisateur: Admin (Administrateur) # ORDI_XP [ ]
      Mis à jour le 23/05/2011 par TeamXscript
      Lancé à 13:39:23 | 23/05/2011
      Site Web: http://www.teamxscript.org
      Submit your sample: http://www.teamxscript.org/Upload.php
      Contact: TeamXscript.ElDesaparecido@gmail.com

      CPU: Pentium(R) Dual-Core CPU E5300 @ 2.60GHz
      CPU 2: Pentium(R) Dual-Core CPU E5300 @ 2.60GHz
      Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
      Internet Explorer 6.0.2900.2180

      Pare-feu Windows: Désactivé /!\
      Antivirus: AntiVir Desktop 10.0.1.58 [(!) Disabled | Updated]
      Firewall: COMODO Firewall 3.9 [Enabled]
      RAM -> 3071 Mo
      C:\ (%systemdrive%) -> Disque fixe # 466 Go (448 Go libre(s) - 96%) [] # NTFS
      D:\ -> Disque fixe # 298 Go (222 Go libre(s) - 75%) [Datas] # NTFS
      I:\ -> CD-ROM
      J:\ -> CD-ROM
      K:\ -> Disque fixe # 466 Go (29 Go libre(s) - 6%) [MyDrive] # NTFS
      L:\ -> Disque fixe # 932 Go (42 Go libre(s) - 4%) [Aec_Mydrive] # NTFS
      M:\ -> Disque amovible # 15 Go (0 Mo libre(s) - 0%) [STORE N GO] # FAT32
      N:\ -> Disque fixe # 932 Go (79 Go libre(s) - 8%) [Iomega HDD] # NTFS
      O:\ -> Disque fixe # 1863 Go (585 Go libre(s) - 31%) [GRioTTe] # NTFS

      ################## | Éléments infectieux |


      Supprimé! C:\DOCUME~1\Admin\LOCALS~1\Temp\_ir_tmpfnt_1
      Supprimé! C:\Recycler\S-1-5-21-1409082233-651377827-839522115-1003
      Supprimé! K:\$RECYCLE.BIN\S-1-5-21-1417001333-179605362-839522115-80200
      Supprimé! K:\$RECYCLE.BIN\S-1-5-21-3941809275-2526232136-1478740526-1001
      Supprimé! K:\$RECYCLE.BIN\S-1-5-21-7256138-2091938520-3064992590-1000
      Supprimé! K:\Recycler\S-1-5-21-1078081533-1788223648-839522115-1003
      Supprimé! K:\Recycler\S-1-5-21-1409082233-651377827-839522115-1003
      Supprimé! K:\Recycler\S-1-5-21-1715567821-115176313-725345543-1003
      Supprimé! K:\Recycler\S-1-5-21-1844237615-839522115-725345543-1004
      Supprimé! K:\Recycler\S-1-5-21-2569380336-3552405892-1529788998-1005
      Supprimé! K:\Recycler\S-1-5-21-343818398-1844823847-725345543-1003
      Supprimé! K:\Recycler\S-1-5-21-583907252-2000478354-682003330-1004
      Supprimé! K:\Recycler\S-1-5-21-789336058-2111687655-682003330-1003
      Supprimé! L:\$RECYCLE.BIN\S-1-5-21-3941809275-2526232136-1478740526-1001
      Supprimé! L:\Recycler\S-1-5-21-1078081533-1788223648-839522115-1003
      Supprimé! L:\Recycler\S-1-5-21-1715567821-115176313-725345543-1003
      Supprimé! L:\Recycler\S-1-5-21-1844237615-839522115-725345543-1004
      Supprimé! L:\Recycler\S-1-5-21-1957994488-920026266-839522115-1004
      Supprimé! L:\Recycler\S-1-5-21-343818398-1844823847-725345543-1003
      Supprimé! L:\Recycler\S-1-5-21-789336058-2111687655-682003330-1003
      Supprimé! N:\Recycler\S-1-5-21-1078081533-1788223648-839522115-1003
      Supprimé! N:\Recycler\S-1-5-21-789336058-2111687655-682003330-1003
      Supprimé! O:\Recycler\S-1-5-21-789336058-2111687655-682003330-1003
      Supprimé! L:\._autorun.inf
      Supprimé! L:\msvcr71.dll
      Supprimé! M:\AUTORUN.INF
      Supprimé! O:\._autorun.inf
      Supprimé! O:\autorun.inf

      ################## | Registre |

      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoSMHelp

      ################## | Mountpoints2 |


      ################## | Listing |

      [22/05/2011 - 20:42:29 | N | 0] C:\AUTOEXEC.BAT
      [23/05/2011 - 12:44:57 | RASHD ] C:\autorun.inf
      [22/05/2011 - 20:39:14 | SH | 212] C:\boot.ini
      [02/10/2001 - 18:15:54 | N | 4952] C:\Bootfont.bin
      [22/05/2011 - 20:42:29 | N | 0] C:\CONFIG.SYS
      [22/05/2011 - 20:44:37 | D ] C:\Documents and Settings
      [22/05/2011 - 21:03:12 | D ] C:\Intel
      [22/05/2011 - 20:42:29 | N | 0] C:\IO.SYS
      [22/05/2011 - 20:42:29 | N | 0] C:\MSDOS.SYS
      [03/08/2004 - 22:38:34 | RASH | 47564] C:\NTDETECT.COM
      [03/08/2004 - 22:59:44 | N | 251712] C:\ntldr
      [22/05/2011 - 21:13:25 | D ] C:\NVIDIA
      [23/05/2011 - 07:21:59 | ASH | 805306368] C:\pagefile.sys
      [23/05/2011 - 12:46:59 | D ] C:\Program Files
      [23/05/2011 - 14:21:28 | SHD ] C:\RECYCLER
      [23/05/2011 - 00:41:53 | SHD ] C:\System Volume Information
      [23/05/2011 - 14:21:29 | D ] C:\UsbFix
      [23/05/2011 - 14:21:57 | A | 3200] C:\UsbFix.txt
      [23/05/2011 - 10:17:27 | D ] C:\WINDOWS
      [23/05/2011 - 12:44:57 | RASHD ] D:\autorun.inf
      [23/05/2011 - 00:50:13 | D ] D:\Bureau
      [19/05/2011 - 16:00:51 | D ] D:\Mes Documents
      [23/05/2011 - 14:21:28 | SHD ] D:\RECYCLER
      [19/05/2011 - 15:52:47 | SHD ] D:\System Volume Information
      [23/05/2011 - 13:57:01 | SHD ] K:\$RECYCLE.BIN
      [24/11/2010 - 17:40:52 | D ] K:\AIomega
      [23/05/2011 - 12:44:57 | RASHD ] K:\autorun.inf
      [18/11/2010 - 18:20:34 | D ] K:\Brush
      [30/12/2010 - 19:45:55 | N | 541] K:\cléWep.txt
      [27/04/2011 - 18:32:40 | D ] K:\GRioTTe
      [19/01/2011 - 07:11:05 | D ] K:\JPEG_Selek
      [30/10/2010 - 17:57:28 | D ] K:\Mes images
      [11/05/2011 - 11:23:19 | D ] K:\Privé
      [23/05/2011 - 14:21:28 | SHD ] K:\RECYCLER
      [24/11/2010 - 19:35:32 | SHD ] K:\System Volume Information
      [03/02/2011 - 21:06:12 | D ] K:\Taf2009_2010
      [04/03/2010 - 14:14:38 | SHD ] L:\$RECYCLE.BIN
      [15/05/2009 - 18:05:47 | N | 29018] L:\.VolumeIcon.icns
      [15/05/2009 - 18:05:47 | N | 25214] L:\.VolumeIcon.ico
      [10/02/2010 - 22:11:20 | D ] L:\AEC
      [23/05/2011 - 12:44:57 | RASHD ] L:\autorun.inf
      [15/02/2010 - 03:27:05 | N | 533] L:\cléWep.txt
      [11/02/2010 - 22:30:24 | D ] L:\Fuck2009_2010
      [26/01/2011 - 22:53:13 | D ] L:\GRioTTe
      [15/09/2010 - 02:56:07 | D ] L:\Mes images
      [15/09/2010 - 02:53:57 | D ] L:\Privé
      [23/05/2011 - 14:21:28 | SHD ] L:\RECYCLER
      [15/02/2010 - 00:31:00 | SHD ] L:\System Volume Information
      [15/09/2010 - 03:34:29 | D ] L:\Taf2009_2010
      [09/02/2010 - 09:24:33 | ASH | 6144] L:\Thumbs.db
      [27/02/2010 - 01:33:16 | N | 172] M:\DRMv1PM.lic
      [12/05/2011 - 21:20:18 | N | 32179] M:\bookmarks.html
      [22/05/2011 - 13:46:36 | D ] M:\ADOBE CS4 MASTER SUITE
      [04/08/2004 - 14:17:10 | N | 636486] M:\DVD Shrink 3.2.exe
      [08/03/2011 - 01:29:30 | D ] N:\Anniv_Mom
      [23/05/2011 - 12:44:57 | RASHD ] N:\autorun.inf
      [14/05/2011 - 12:59:10 | D ] N:\ClipWidéo
      [13/04/2011 - 13:33:35 | D ] N:\Erdf
      [24/03/2011 - 23:55:10 | D ] N:\EtsChristianChanudet
      [14/05/2011 - 16:06:40 | D ] N:\ETTaSoeur
      [29/03/2011 - 16:23:00 | D ] N:\Grdf
      [18/11/2010 - 18:21:56 | D ] N:\Hipponautes
      [28/10/2010 - 13:22:49 | D ] N:\Hyperboles
      [15/05/2011 - 00:34:40 | D ] N:\JessStar
      [27/09/2010 - 16:24:39 | D ] N:\KaouKaFeLa
      [22/05/2011 - 12:14:56 | D ] N:\LCDC_CombraillesEcole
      [01/12/2010 - 00:34:42 | D ] N:\Lilou
      [27/03/2011 - 16:35:30 | D ] N:\MariageDrey
      [29/09/2010 - 19:02:13 | D ] N:\Master
      [23/05/2011 - 14:21:29 | SHD ] N:\RECYCLER
      [11/06/2008 - 16:19:45 | SHD ] N:\System Volume Information
      [23/10/2010 - 21:09:24 | D ] N:\Zoolians
      [15/01/2011 - 13:49:17 | N | 29018] O:\.VolumeIcon.icns
      [15/01/2011 - 13:49:17 | N | 25214] O:\.VolumeIcon.ico
      [15/01/2011 - 13:54:33 | D ] O:\Doc_DD
      [13/04/2011 - 17:23:39 | D ] O:\msdownld.tmp
      [03/04/2011 - 01:03:18 | D ] O:\MyDrive
      [19/05/2011 - 12:40:14 | D ] O:\PC
      [23/05/2011 - 14:21:29 | SHD ] O:\RECYCLER
      [15/01/2011 - 13:48:52 | SHD ] O:\System Volume Information
      [21/02/2011 - 13:55:08 | D ] O:\TAF

      ################## | Vaccin |

      C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
      D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
      K:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
      L:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
      N:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
      O:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
      0
  2. gen-hackman
     
    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
    1. MeLOoooo.... Messages postés 10 Statut Membre
       
      Voici le lien :

      http://www.cijoint.fr/cjlink.php?file=cj201105/cijYW6gcUy.txt
      0
  3. gen-hackman
     
    juste une question :

    tu as bien fermé le parapluie d'antivir pour cette execution ?
    0
    1. MeLOoooo.... Messages postés 10 Statut Membre
       
      oui
      Des dossiers auxquels je n'avais plus accès ( ils étaient en transparence comme des fantômes ) sont redevenus d'apparence normal, on doit être quand même sur la bonne voie ...
      0
  4. gen-hackman
     
    desinstalle spybot et ad-aware
    0
    1. MeLOoooo.... Messages postés 10 Statut Membre
       
      Ok pour spybot.
      Je n'ai pas ad-aware mais Malwarebytes, je le désinstalle aussi ?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    non garde-le c'est un tres bon logiciel il faut le garder

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Configuration

    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
    1. MeLOoooo.... Messages postés 10 Statut Membre
       
      Voici pour OTL :

      http://www.cijoint.fr/cjlink.php?file=cj201105/cij9OyYT4W.txt

      Et l' Extra :

      http://www.cijoint.fr/cjlink.php?file=cj201105/cijwjdzxfy.txt
      0
  7. gen-hackman
     
    config non suivie recommence
    0
    1. MeLOoooo.... Messages postés 10 Statut Membre
       
      http://www.cijoint.fr/cjlink.php?file=cj201105/cijY0pWffT.txt

      Pour OTL mais je n'ai pas eu de nouveau " Extras.Txt "
      0
    2. gen-hackman
       
      config non suivis recommence
      0
    3. MeLOoooo.... Messages postés 10 Statut Membre
       
      Ok, pardon, j'avais pas fais gaffe que " Configuration " était un lien... Ça devrait être mieux la :

      http://www.cijoint.fr/cjlink.php?file=cj201105/cijJxq7g2M.txt

      Pour l'Extra :

      http://www.cijoint.fr/cjlink.php?file=cj201105/cij2omguFu.txt
      0
  8. gen-hackman
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
    1. MeLOoooo.... Messages postés 10 Statut Membre
       
      Voici :

      ComboFix 11-05-22.02 - Admin 23/05/2011 18:25:39.1.2 - x86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3071.2648 [GMT 2:00]
      Lancé depuis: c:\documents and settings\Admin\Bureau\MeLo.exe.exe
      AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
      FW: COMODO Firewall *Disabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
      .
      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2011-04-23 au 2011-05-23 ))))))))))))))))))))))))))))))))))))
      .
      .
      2011-05-23 13:05 . 2011-05-23 13:05 -------- d-----w- C:\Kill'em
      .
      .
      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2011-04-14 16:47 . 2011-05-22 20:03 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
      .
      .
      ------- Sigcheck -------
      .
      [-] 2008-04-14 . E17C85D5B5CF477638433B851A98499E . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\sfcfiles.dll
      [-] 2005-08-20 . 7FE89B78B561F9D32630EC2EC3D11590 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4
      .
      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
      "{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\prxtbVuze.dll" [2011-01-17 175912]
      .
      [HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
      .
      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
      2011-01-17 14:54 175912 ----a-w- c:\program files\ConduitEngine\prxConduitEngine.dll
      .
      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
      2011-01-17 14:54 175912 ----a-w- c:\program files\Vuze_Remote\prxtbVuze.dll
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\prxtbVuze.dll" [2011-01-17 175912]
      "{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
      .
      [HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
      .
      [HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
      .
      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
      "{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\program files\Vuze_Remote\prxtbVuze.dll" [2011-01-17 175912]
      .
      [HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
      "Six Engine"="c:\program files\ASUS\EPU-4 Engine\FourEngine.exe" [2009-06-04 5777408]
      "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-09-27 86016]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-27 13918208]
      "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 101136]
      "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-02-04 281768]
      "COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2011-05-09 2552648]
      "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
      "AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2009-06-08 611712]
      "Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2009-12-21 38840]
      "Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2009-12-21 640440]
      "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
      .
      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "nlsf"="move" [X]
      "Config"="c:\windows\system32\run.cmd" [2005-08-23 341]
      "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]
      .
      c:\documents and settings\Admin\Menu D'marrer\Programmes\D'marrage\
      IcoSauve.lnk - c:\program files\IcoSauve\IcoSauve.exe [2011-5-22 131072]
      .
      c:\documents and settings\Admin\Menu D'marrer\Programmes\D'marrage\
      IcoSauve.lnk - c:\program files\IcoSauve\IcoSauve.exe [2011-5-22 131072]
      .
      c:\documents and settings\Admin\Menu D'marrer\Programmes\D'marrage\
      IcoSauve.lnk - c:\program files\IcoSauve\IcoSauve.exe [2011-5-22 131072]
      .
      c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
      Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2011-5-22 688128]
      .
      c:\documents and settings\Admin\Menu D'marrer\Programmes\D'marrage\
      IcoSauve.lnk - c:\program files\IcoSauve\IcoSauve.exe [2011-5-22 131072]
      .
      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "MemCheckBoxInRunDlg"= 1 (0x1)
      "NoSMBalloonTip"= 1 (0x1)
      "NoWelcomeScreen"= 1 (0x1)
      "NoAutoUpdate"= 1 (0x1)
      .
      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMHelp"= 1 (0x1)
      "MemCheckBoxInRunDlg"= 1 (0x1)
      "NoSMBalloonTip"= 1 (0x1)
      "NoWelcomeScreen"= 1 (0x1)
      "NoAutoUpdate"= 1 (0x1)
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"=c:\windows\system32\guard32.dll
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
      @=""
      .
      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)
      "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
      .
      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
      "c:\\Program Files\\Vuze\\Azureus.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS4\\Server\\bin\\VersionCueCS4.exe"=
      "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
      .
      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "5353:TCP"= 5353:TCP:Adobe CSI CS4
      "3703:TCP"= 3703:TCP:Adobe Version Cue CS4 Server
      "3704:TCP"= 3704:TCP:Adobe Version Cue CS4 Server
      "51000:TCP"= 51000:TCP:Adobe Version Cue CS4 Server
      "51001:TCP"= 51001:TCP:Adobe Version Cue CS4 Server
      .
      R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [02/05/2011 20:36 242472]
      R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [02/05/2011 20:36 29400]
      R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/05/2011 21:28 136360]
      R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [22/05/2011 21:13 57248]
      S3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\program files\Fichiers communs\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [15/08/2008 05:46 288112]
      S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [22/05/2011 20:51 1684736]
      .
      --- Autres Services/Pilotes en mémoire ---
      .
      *NewlyCreated* - HELPSVC
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.google.com/
      uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/
      IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
      IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
      IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
      IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
      FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\jdpbgau3.default\
      .
      - - - - ORPHELINS SUPPRIMES - - - -
      .
      HKLM-Run-nwiz - c:\program files\NVIDIA Corporation\nView\nwiz.exe
      AddRemove-NVIDIA nView Desktop Manager - c:\program files\NVIDIA Corporation\nView\nViewSetup.exe
      .
      .
      .
      **************************************************************************
      .
      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2011-05-23 18:28
      Windows 5.1.2600 Service Pack 2 NTFS
      .
      detected NTDLL code modification:
      ZwClose, ZwOpenFile
      .
      Recherche de processus cachés ...
      .
      Recherche d'éléments en démarrage automatique cachés ...
      .
      Recherche de fichiers cachés ...
      .
      Scan terminé avec succès
      Fichiers cachés: 0
      .
      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------
      .
      - - - - - - - > 'winlogon.exe'(852)
      c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
      .
      Heure de fin: 2011-05-23 18:29:37
      ComboFix-quarantined-files.txt 2011-05-23 16:29
      .
      Avant-CF: 482 250 584 064 octets libres
      Après-CF: 482 227 437 568 octets libres
      .
      WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      UnsupportedDebug="do not select this" /debug
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
      .
      - - End Of File - - 09FD287C65E8E1F11F144132A476153F
      0
  9. gen-hackman
     
    il sort d'où ce windows ?
    0
    1. MeLOoooo.... Messages postés 10 Statut Membre
       
      Il a été récupéré sur le net......
      0
    2. gen-hackman
       
      version pirate
      0
  10. M@thew
     
    Bonsoir, pas d'aide sur CCM pour les choses illégales.

    Merci de votre compréhension.

    M@thew Modérateur CCM.

    0