Windows recovery
tofrub
Messages postés
95
Statut
Membre
-
g3n-h@ckm@n -
g3n-h@ckm@n -
Bonjour,
mon pc est infecté avec un dénommé windows recovery pc, j'ai trouvé des infos pour l'éradiquer avec spyhunter4, mais qui est payant et en plus, j'ai lu que ce n'étais pas du sérieux, donc payer pour rien ca m'intéresse pas trop...avez vous une solution?ce serait super cool...par avance merci
mon pc est infecté avec un dénommé windows recovery pc, j'ai trouvé des infos pour l'éradiquer avec spyhunter4, mais qui est payant et en plus, j'ai lu que ce n'étais pas du sérieux, donc payer pour rien ca m'intéresse pas trop...avez vous une solution?ce serait super cool...par avance merci
A voir également:
- Windows recovery
- Android recovery - Guide
- Clé d'activation windows 10 - Guide
- Montage video windows - Guide
- Windows ne démarre pas - Guide
- Windows movie maker - Télécharger - Montage & Édition
174 réponses
Non c pas ça c juste un écran bleu sans rien juste le pointeur de la souris qui bouge si je le fais bouger
Et la il vient d' afficher la préparation de mise en veille prolongée j ai rebouge la souris et il est finalement reste allume
Il dit que Windows n avait pas démarre normalement avec proposition de démarrage sans échec et autre
Je fais quoi
Je fais quoi
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Il a pas voulu plusieurs fois de suite donc j ai fait démarrage avec dernière bonne config connue
Et la bien sur le problème dont je te parlais hier il va mettre une demi heure (entre20 et 30 mns exactement) a démarrer c est a dire qu il a démarre et que j ai accès a rien pour l instant et d' un coup ça se debloque
Et la bien sur le problème dont je te parlais hier il va mettre une demi heure (entre20 et 30 mns exactement) a démarrer c est a dire qu il a démarre et que j ai accès a rien pour l instant et d' un coup ça se debloque
ok tu feras ca un fois que ce sera bon
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
et voila :
ComboFix 11-05-30.06 - Cristina 31/05/2011 3:47.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1514 [GMT 2:00]
Lancé depuis: c:\documents and settings\Cristina\Bureau\Christophe.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Cristina\Application Data\4689356DFFE73AB8370C02338D62F070
c:\documents and settings\Cristina\Application Data\4689356DFFE73AB8370C02338D62F070\enemies-names.txt
c:\documents and settings\Cristina\Application Data\4689356DFFE73AB8370C02338D62F070\local.ini
c:\documents and settings\Cristina\Application Data\Adobe\plugs
c:\documents and settings\Cristina\Application Data\Adobe\shed
c:\documents and settings\Cristina\Application Data\OfferBox
c:\documents and settings\Cristina\Application Data\OfferBox\config.dat
c:\documents and settings\Cristina\Application Data\OfferBox\config.xml
c:\documents and settings\Cristina\WINDOWS
c:\program files\INSTALL.LOG
c:\program files\OfferBox
c:\program files\OfferBox\OfferBoxBHO.dll
c:\windows\system32\AutoRun.inf
c:\windows\system32\Drivers\oflwtnxd.sys
c:\windows\system32\Drivers\rvrmaxbn.sys
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-28 au 2011-05-31 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-30 22:32 . 2011-05-30 22:36 -------- d-----w- C:\Kill'em
2011-05-29 17:40 . 2011-05-29 17:40 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple Computer
2011-05-29 11:33 . 2011-05-29 11:33 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-05-29 11:32 . 2011-05-29 11:32 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-25 11:56 . 2011-05-25 11:56 -------- d-----w- c:\documents and settings\Cristina\Application Data\RegistryKeys
2011-05-25 11:07 . 2011-05-25 11:07 946 ----a-w- c:\windows\system32\drivers\SMR162.dat
2011-05-25 11:07 . 2011-05-25 11:07 76920 ----a-w- c:\windows\system32\drivers\SMR162.SYS
2011-05-25 11:07 . 2011-05-25 11:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2011-05-25 11:06 . 2011-05-25 11:58 -------- d-----w- c:\documents and settings\Cristina\Local Settings\Application Data\NPE
2011-05-25 10:36 . 2011-05-25 10:36 -------- d-sh--w- c:\documents and settings\Cristina\IECompatCache
2011-05-25 10:11 . 2011-05-29 20:56 -------- d-----w- c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP
2011-05-25 10:11 . 2011-05-25 10:11 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2011-05-24 21:07 . 2004-08-05 08:00 4224 ----a-w- c:\windows\system32\beep.sys
2011-05-24 21:02 . 2011-05-24 21:02 -------- d-s---w- c:\documents and settings\LocalService\IETldCache
2011-05-11 20:39 . 2011-05-11 20:39 -------- d-----w- c:\program files\iPod
2011-05-11 20:33 . 2011-05-11 20:33 -------- d-----w- c:\program files\Bonjour
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\documents and settings\Cristina\Application Data\Malwarebytes
2011-05-10 20:22 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-10 20:22 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-10 12:10 . 2010-08-29 18:38 40112 ----a-w- c:\windows\avastSS.scr
2011-05-10 12:10 . 2010-08-29 18:38 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-05-10 12:03 . 2011-04-21 06:47 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-05-10 12:03 . 2010-08-29 18:39 307928 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-05-10 12:02 . 2010-08-29 18:39 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-05-10 12:02 . 2010-08-29 18:39 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-05-10 12:02 . 2010-08-29 18:39 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-05-10 11:59 . 2010-08-29 18:39 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-05-10 11:59 . 2010-08-29 18:39 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-05-10 11:59 . 2010-08-29 18:39 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-04-06 14:20 . 2011-04-06 14:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20 75040 ----a-w- c:\windows\system32\jdns_sd.dll
2011-04-06 14:20 . 2011-04-06 14:20 197920 ----a-w- c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2011-03-07 05:33 . 2004-08-05 08:00 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-05 08:00 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-05 08:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2010-12-16 20:47 . 2010-12-16 20:46 3389035 -c--a-w- c:\program files\emule_emule_0.50a_francais_10876.exe
2010-08-29 18:16 . 2010-08-29 18:12 49513448 -c--a-w- c:\program files\setup_av_free_fre.exe
2006-03-21 13:52 . 2007-11-06 20:13 4194304 -c--a-w- c:\program files\hrpjna01.dat
2005-10-13 12:18 . 2007-11-06 20:13 131072 -c--a-w- c:\program files\Reader.clk
2005-08-22 15:40 . 2007-11-06 20:13 81920 -c--a-w- c:\program files\unwise.adf
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}]
2010-08-19 12:24 135840 ----a-w- c:\program files\Fluendo\Moovida\spointer\extensions\moovida_air_ie.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-05-10 12:10 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-08-01 233534]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 421888]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2005-10-11 409600]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-04-26 421160]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]
.
c:\documents and settings\Cristina\Menu D'marrer\Programmes\D'marrage\
HotSync Manager.LNK - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
LifeDriveT Manager.lnk - c:\program files\palmOne\LifeDriveMgrTray.exe [2005-4-28 86016]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-5-26 110592]
HotSync Manager.lnk - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
HP Digital Imaging Monitor.lnk - c:\program files\Hp\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
MioSync.lnk - c:\program files\Mio Technology\MioSync\mioSync.exe [N/A]
.
[HKLM\~\startupfolder\C:^Documents and Settings^Cristina^Menu Démarrer^Programmes^Démarrage^Antimalware Doctor.lnk]
path=c:\documents and settings\Cristina\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnkStartup
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\palmOne\\Hotsync.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqtra08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxs08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqfxt08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\Hp\\HP Software Update\\hpwucli.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Program Files\\Samsung\\SAMSUNG PC Share Manager\\WiselinkPro.exe"=
"c:\\Program Files\\Samsung\\SAMSUNG PC Share Manager\\http_ss_win_pro.exe"=
"c:\\Program Files\\Fluendo\\Moovida\\Moovida.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [21/04/2011 08:47 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [29/08/2010 20:39 307928]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29/08/2010 20:39 19544]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/08/2005 11:06 231424]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 12:07 135664]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 12:07 135664]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [10/05/2011 22:22 38224]
S3 WiselinkPro;SAMSUNG WiselinkPro Service;c:\program files\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe [08/01/2009 10:38 4136960]
S4 Vax347b;Vax347b;c:\windows\system32\drivers\Vax347b.sys [22/10/2006 18:57 159616]
S4 Vax347s;Vax347s;c:\windows\system32\drivers\Vax347s.sys [22/10/2006 18:57 5248]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 10:07]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 10:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
Trusted Zone: cic.fr\www
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-PDUDS700Tskbr - c:\program files\Canon\Memory Card Utility\SELPHY DS700\PDUDS700Tskbr.exe
HKLM-Run-SpyHunter Security Suite - c:\program files\Enigma Software Group\SpyHunter\SpyHunter4.exe
AddRemove-HaaliMkx - c:\program files\Matroska Pack\haali\uninstall.exe
AddRemove-HijackThis - G:\HijackThis.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-31 04:02
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????5?2?8?7??P???? ???B?????????????hLC? ??????
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: TOSHIBA_MK8032GAX rev.AD002C -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
.
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8AABA53B
user & kernel MBR OK
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\-213E8]
"imagepath"="\??\c:\docume~1\Cristina\LOCALS~1\Temp\-213E8.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_Protocol_Catalog"="Protocol_Catalog9"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2011-05-31 04:09:43
ComboFix-quarantined-files.txt 2011-05-31 02:09
.
Avant-CF: 17 818 435 584 octets libres
Après-CF: 18 023 325 696 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
.
Current=3 Default=3 Failed=4 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - F97B758947FEE7CFAF9B176AA20B394B
ComboFix 11-05-30.06 - Cristina 31/05/2011 3:47.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1514 [GMT 2:00]
Lancé depuis: c:\documents and settings\Cristina\Bureau\Christophe.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Cristina\Application Data\4689356DFFE73AB8370C02338D62F070
c:\documents and settings\Cristina\Application Data\4689356DFFE73AB8370C02338D62F070\enemies-names.txt
c:\documents and settings\Cristina\Application Data\4689356DFFE73AB8370C02338D62F070\local.ini
c:\documents and settings\Cristina\Application Data\Adobe\plugs
c:\documents and settings\Cristina\Application Data\Adobe\shed
c:\documents and settings\Cristina\Application Data\OfferBox
c:\documents and settings\Cristina\Application Data\OfferBox\config.dat
c:\documents and settings\Cristina\Application Data\OfferBox\config.xml
c:\documents and settings\Cristina\WINDOWS
c:\program files\INSTALL.LOG
c:\program files\OfferBox
c:\program files\OfferBox\OfferBoxBHO.dll
c:\windows\system32\AutoRun.inf
c:\windows\system32\Drivers\oflwtnxd.sys
c:\windows\system32\Drivers\rvrmaxbn.sys
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-28 au 2011-05-31 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-30 22:32 . 2011-05-30 22:36 -------- d-----w- C:\Kill'em
2011-05-29 17:40 . 2011-05-29 17:40 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple Computer
2011-05-29 11:33 . 2011-05-29 11:33 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-05-29 11:32 . 2011-05-29 11:32 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-25 11:56 . 2011-05-25 11:56 -------- d-----w- c:\documents and settings\Cristina\Application Data\RegistryKeys
2011-05-25 11:07 . 2011-05-25 11:07 946 ----a-w- c:\windows\system32\drivers\SMR162.dat
2011-05-25 11:07 . 2011-05-25 11:07 76920 ----a-w- c:\windows\system32\drivers\SMR162.SYS
2011-05-25 11:07 . 2011-05-25 11:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2011-05-25 11:06 . 2011-05-25 11:58 -------- d-----w- c:\documents and settings\Cristina\Local Settings\Application Data\NPE
2011-05-25 10:36 . 2011-05-25 10:36 -------- d-sh--w- c:\documents and settings\Cristina\IECompatCache
2011-05-25 10:11 . 2011-05-29 20:56 -------- d-----w- c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP
2011-05-25 10:11 . 2011-05-25 10:11 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2011-05-24 21:07 . 2004-08-05 08:00 4224 ----a-w- c:\windows\system32\beep.sys
2011-05-24 21:02 . 2011-05-24 21:02 -------- d-s---w- c:\documents and settings\LocalService\IETldCache
2011-05-11 20:39 . 2011-05-11 20:39 -------- d-----w- c:\program files\iPod
2011-05-11 20:33 . 2011-05-11 20:33 -------- d-----w- c:\program files\Bonjour
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\documents and settings\Cristina\Application Data\Malwarebytes
2011-05-10 20:22 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-10 20:22 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-10 12:10 . 2010-08-29 18:38 40112 ----a-w- c:\windows\avastSS.scr
2011-05-10 12:10 . 2010-08-29 18:38 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-05-10 12:03 . 2011-04-21 06:47 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-05-10 12:03 . 2010-08-29 18:39 307928 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-05-10 12:02 . 2010-08-29 18:39 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-05-10 12:02 . 2010-08-29 18:39 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-05-10 12:02 . 2010-08-29 18:39 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-05-10 11:59 . 2010-08-29 18:39 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-05-10 11:59 . 2010-08-29 18:39 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-05-10 11:59 . 2010-08-29 18:39 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-04-06 14:20 . 2011-04-06 14:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20 75040 ----a-w- c:\windows\system32\jdns_sd.dll
2011-04-06 14:20 . 2011-04-06 14:20 197920 ----a-w- c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2011-03-07 05:33 . 2004-08-05 08:00 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-05 08:00 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-05 08:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2010-12-16 20:47 . 2010-12-16 20:46 3389035 -c--a-w- c:\program files\emule_emule_0.50a_francais_10876.exe
2010-08-29 18:16 . 2010-08-29 18:12 49513448 -c--a-w- c:\program files\setup_av_free_fre.exe
2006-03-21 13:52 . 2007-11-06 20:13 4194304 -c--a-w- c:\program files\hrpjna01.dat
2005-10-13 12:18 . 2007-11-06 20:13 131072 -c--a-w- c:\program files\Reader.clk
2005-08-22 15:40 . 2007-11-06 20:13 81920 -c--a-w- c:\program files\unwise.adf
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}]
2010-08-19 12:24 135840 ----a-w- c:\program files\Fluendo\Moovida\spointer\extensions\moovida_air_ie.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-05-10 12:10 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-08-01 233534]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 421888]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2005-10-11 409600]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-04-26 421160]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]
.
c:\documents and settings\Cristina\Menu D'marrer\Programmes\D'marrage\
HotSync Manager.LNK - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
LifeDriveT Manager.lnk - c:\program files\palmOne\LifeDriveMgrTray.exe [2005-4-28 86016]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-5-26 110592]
HotSync Manager.lnk - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
HP Digital Imaging Monitor.lnk - c:\program files\Hp\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
MioSync.lnk - c:\program files\Mio Technology\MioSync\mioSync.exe [N/A]
.
[HKLM\~\startupfolder\C:^Documents and Settings^Cristina^Menu Démarrer^Programmes^Démarrage^Antimalware Doctor.lnk]
path=c:\documents and settings\Cristina\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnkStartup
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\palmOne\\Hotsync.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqtra08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxs08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqfxt08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\Hp\\HP Software Update\\hpwucli.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Program Files\\Samsung\\SAMSUNG PC Share Manager\\WiselinkPro.exe"=
"c:\\Program Files\\Samsung\\SAMSUNG PC Share Manager\\http_ss_win_pro.exe"=
"c:\\Program Files\\Fluendo\\Moovida\\Moovida.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [21/04/2011 08:47 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [29/08/2010 20:39 307928]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29/08/2010 20:39 19544]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/08/2005 11:06 231424]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 12:07 135664]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 12:07 135664]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [10/05/2011 22:22 38224]
S3 WiselinkPro;SAMSUNG WiselinkPro Service;c:\program files\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe [08/01/2009 10:38 4136960]
S4 Vax347b;Vax347b;c:\windows\system32\drivers\Vax347b.sys [22/10/2006 18:57 159616]
S4 Vax347s;Vax347s;c:\windows\system32\drivers\Vax347s.sys [22/10/2006 18:57 5248]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 10:07]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 10:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
Trusted Zone: cic.fr\www
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-PDUDS700Tskbr - c:\program files\Canon\Memory Card Utility\SELPHY DS700\PDUDS700Tskbr.exe
HKLM-Run-SpyHunter Security Suite - c:\program files\Enigma Software Group\SpyHunter\SpyHunter4.exe
AddRemove-HaaliMkx - c:\program files\Matroska Pack\haali\uninstall.exe
AddRemove-HijackThis - G:\HijackThis.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-31 04:02
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????5?2?8?7??P???? ???B?????????????hLC? ??????
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: TOSHIBA_MK8032GAX rev.AD002C -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
.
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8AABA53B
user & kernel MBR OK
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\-213E8]
"imagepath"="\??\c:\docume~1\Cristina\LOCALS~1\Temp\-213E8.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_Protocol_Catalog"="Protocol_Catalog9"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2011-05-31 04:09:43
ComboFix-quarantined-files.txt 2011-05-31 02:09
.
Avant-CF: 17 818 435 584 octets libres
Après-CF: 18 023 325 696 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
.
Current=3 Default=3 Failed=4 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - F97B758947FEE7CFAF9B176AA20B394B
and now go to bed to sleep a little bit
merci pour tout...même si c peut etre pas fini c vraiment cool
merci pour tout...même si c peut etre pas fini c vraiment cool
tu feras ca :
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
File::
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
c:\documents and settings\Cristina\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk
Folder::
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP
c:\program files\Fluendo\Moovida\spointer
Registry::
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}] => Infection BT (Adware.SPointer)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cpqset"=-
"QuickTime Task"=-
"NeroFilterCheck"=-
"iTunesHelper"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\-213E8]
RegLock::
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
File::
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
c:\documents and settings\Cristina\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk
Folder::
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP
c:\program files\Fluendo\Moovida\spointer
Registry::
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}] => Infection BT (Adware.SPointer)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cpqset"=-
"QuickTime Task"=-
"NeroFilterCheck"=-
"iTunesHelper"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\-213E8]
RegLock::
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
et voila la suite :
ComboFix 11-05-30.06 - Cristina 31/05/2011 10:34:11.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1037 [GMT 2:00]
Lancé depuis: c:\documents and settings\Cristina\Bureau\Christophe.exe
Commutateurs utilisés :: c:\documents and settings\Cristina\Bureau\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
FILE ::
"c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk"
"c:\documents and settings\Cristina\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Fluendo\Moovida\spointer
c:\program files\Fluendo\Moovida\spointer\extensions\chrome\moovida_air_chrome.crx
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\chrome.manifest
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\chrome\content\events.js
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\chrome\content\logo.ico
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\chrome\content\overlay.xul
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\components\moovida_air_ff.dll
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\components\moovida_air_ff.xpt
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\install.rdf
c:\program files\Fluendo\Moovida\spointer\extensions\moovida_air_ie.dll
c:\program files\Fluendo\Moovida\spointer\install.config.sxe
c:\program files\Fluendo\Moovida\spointer\install.country.sxe
c:\program files\Fluendo\Moovida\spointer\install.xml
c:\program files\Fluendo\Moovida\spointer\moovida_air.exe
c:\program files\Fluendo\Moovida\spointer\moovida_air_ctrl.dll
c:\program files\Fluendo\Moovida\spointer\moovida_air_webdisp.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCall.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla17.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla18.exe
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla19.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla2.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla20.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla21.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla21.exe
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseData.ini
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-28 au 2011-05-31 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-30 22:32 . 2011-05-30 22:36 -------- d-----w- C:\Kill'em
2011-05-29 17:40 . 2011-05-29 17:40 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple Computer
2011-05-29 11:33 . 2011-05-29 11:33 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-05-29 11:32 . 2011-05-29 11:32 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-25 11:56 . 2011-05-25 11:56 -------- d-----w- c:\documents and settings\Cristina\Application Data\RegistryKeys
2011-05-25 11:07 . 2011-05-25 11:07 946 ----a-w- c:\windows\system32\drivers\SMR162.dat
2011-05-25 11:07 . 2011-05-25 11:07 76920 ----a-w- c:\windows\system32\drivers\SMR162.SYS
2011-05-25 11:07 . 2011-05-25 11:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2011-05-25 11:06 . 2011-05-25 11:58 -------- d-----w- c:\documents and settings\Cristina\Local Settings\Application Data\NPE
2011-05-25 10:36 . 2011-05-25 10:36 -------- d-sh--w- c:\documents and settings\Cristina\IECompatCache
2011-05-25 10:11 . 2011-05-25 10:11 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2011-05-24 21:07 . 2004-08-05 08:00 4224 ----a-w- c:\windows\system32\beep.sys
2011-05-24 21:02 . 2011-05-24 21:02 -------- d-s---w- c:\documents and settings\LocalService\IETldCache
2011-05-11 20:39 . 2011-05-11 20:39 -------- d-----w- c:\program files\iPod
2011-05-11 20:33 . 2011-05-11 20:33 -------- d-----w- c:\program files\Bonjour
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\documents and settings\Cristina\Application Data\Malwarebytes
2011-05-10 20:22 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-10 20:22 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-10 12:10 . 2010-08-29 18:38 40112 ----a-w- c:\windows\avastSS.scr
2011-05-10 12:10 . 2010-08-29 18:38 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-05-10 12:03 . 2011-04-21 06:47 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-05-10 12:03 . 2010-08-29 18:39 307928 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-05-10 12:02 . 2010-08-29 18:39 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-05-10 12:02 . 2010-08-29 18:39 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-05-10 12:02 . 2010-08-29 18:39 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-05-10 11:59 . 2010-08-29 18:39 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-05-10 11:59 . 2010-08-29 18:39 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-05-10 11:59 . 2010-08-29 18:39 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-04-06 14:20 . 2011-04-06 14:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20 75040 ----a-w- c:\windows\system32\jdns_sd.dll
2011-04-06 14:20 . 2011-04-06 14:20 197920 ----a-w- c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2011-03-07 05:33 . 2004-08-05 08:00 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-05 08:00 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-05 08:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2010-12-16 20:47 . 2010-12-16 20:46 3389035 -c--a-w- c:\program files\emule_emule_0.50a_francais_10876.exe
2010-08-29 18:16 . 2010-08-29 18:12 49513448 -c--a-w- c:\program files\setup_av_free_fre.exe
2006-03-21 13:52 . 2007-11-06 20:13 4194304 -c--a-w- c:\program files\hrpjna01.dat
2005-10-13 12:18 . 2007-11-06 20:13 131072 -c--a-w- c:\program files\Reader.clk
2005-08-22 15:40 . 2007-11-06 20:13 81920 -c--a-w- c:\program files\unwise.adf
.
.
((((((((((((((((((((((((((((( SnapShot@2011-05-31_02.03.26 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-06-18 16:59 . 2006-06-18 16:59 69120 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\xlicons.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 69120 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\xlicons.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 35328 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\wordicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 35328 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\wordicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 30208 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\pptico.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 30208 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\pptico.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 11264 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\PEicons.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 11264 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\PEicons.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 28160 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\misc.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 28160 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\misc.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 73216 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\fpicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 73216 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\fpicon.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 22528 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\bindico.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 22528 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\bindico.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 104960 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\outicon.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 104960 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\outicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 155136 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\accicons.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 155136 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\accicons.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-05-10 12:10 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2005-10-11 409600]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]
.
c:\documents and settings\Cristina\Menu D'marrer\Programmes\D'marrage\
HotSync Manager.LNK - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
LifeDriveT Manager.lnk - c:\program files\palmOne\LifeDriveMgrTray.exe [2005-4-28 86016]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-5-26 110592]
HotSync Manager.lnk - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
HP Digital Imaging Monitor.lnk - c:\program files\Hp\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
MioSync.lnk - c:\program files\Mio Technology\MioSync\mioSync.exe [N/A]
.
[HKLM\~\startupfolder\C:^Documents and Settings^Cristina^Menu Démarrer^Programmes^Démarrage^Antimalware Doctor.lnk]
path=c:\documents and settings\Cristina\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnkStartup
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\palmOne\\Hotsync.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqtra08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxs08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqfxt08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\Hp\\HP Software Update\\hpwucli.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Program Files\\Samsung\\SAMSUNG PC Share Manager\\WiselinkPro.exe"=
"c:\\Program Files\\Samsung\\SAMSUNG PC Share Manager\\http_ss_win_pro.exe"=
"c:\\Program Files\\Fluendo\\Moovida\\Moovida.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [21/04/2011 08:47 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [29/08/2010 20:39 307928]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29/08/2010 20:39 19544]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/08/2005 11:06 231424]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 12:07 135664]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 12:07 135664]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [10/05/2011 22:22 38224]
S3 WiselinkPro;SAMSUNG WiselinkPro Service;c:\program files\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe [08/01/2009 10:38 4136960]
S4 Vax347b;Vax347b;c:\windows\system32\drivers\Vax347b.sys [22/10/2006 18:57 159616]
S4 Vax347s;Vax347s;c:\windows\system32\drivers\Vax347s.sys [22/10/2006 18:57 5248]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 10:07]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 10:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
Trusted Zone: cic.fr\www
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
BHO-{E2A7BD67-0EAF-497f-B05B-748D7BF3C421} - c:\program files\Fluendo\Moovida\spointer\extensions\moovida_air_ie.dll
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-31 10:51
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: TOSHIBA_MK8032GAX rev.AD002C -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
.
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8AAC553B
user & kernel MBR OK
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(736)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'Explorer.EXE'(1772)
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\windows\system32\wscntfy.exe
c:\program files\palmOne\PalmOneLiveConnect.exe
.
**************************************************************************
.
Heure de fin: 2011-05-31 10:59:24 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-05-31 08:59
ComboFix2.txt 2011-05-31 02:09
.
Avant-CF: 17 985 421 312 octets libres
Après-CF: 17 968 537 600 octets libres
.
Current=3 Default=3 Failed=4 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - 0397BA47CB07AEFD8D76277B93A50C11
ComboFix 11-05-30.06 - Cristina 31/05/2011 10:34:11.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1037 [GMT 2:00]
Lancé depuis: c:\documents and settings\Cristina\Bureau\Christophe.exe
Commutateurs utilisés :: c:\documents and settings\Cristina\Bureau\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
FILE ::
"c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk"
"c:\documents and settings\Cristina\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Fluendo\Moovida\spointer
c:\program files\Fluendo\Moovida\spointer\extensions\chrome\moovida_air_chrome.crx
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\chrome.manifest
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\chrome\content\events.js
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\chrome\content\logo.ico
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\chrome\content\overlay.xul
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\components\moovida_air_ff.dll
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\components\moovida_air_ff.xpt
c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\install.rdf
c:\program files\Fluendo\Moovida\spointer\extensions\moovida_air_ie.dll
c:\program files\Fluendo\Moovida\spointer\install.config.sxe
c:\program files\Fluendo\Moovida\spointer\install.country.sxe
c:\program files\Fluendo\Moovida\spointer\install.xml
c:\program files\Fluendo\Moovida\spointer\moovida_air.exe
c:\program files\Fluendo\Moovida\spointer\moovida_air_ctrl.dll
c:\program files\Fluendo\Moovida\spointer\moovida_air_webdisp.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCall.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla17.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla18.exe
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla19.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla2.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla20.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla21.dll
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseCustomCalla21.exe
c:\windows\CF33A0CE702A4E66B91BF995F9DDFD5B.TMP\WiseData.ini
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-28 au 2011-05-31 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-30 22:32 . 2011-05-30 22:36 -------- d-----w- C:\Kill'em
2011-05-29 17:40 . 2011-05-29 17:40 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple Computer
2011-05-29 11:33 . 2011-05-29 11:33 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-05-29 11:32 . 2011-05-29 11:32 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-25 11:56 . 2011-05-25 11:56 -------- d-----w- c:\documents and settings\Cristina\Application Data\RegistryKeys
2011-05-25 11:07 . 2011-05-25 11:07 946 ----a-w- c:\windows\system32\drivers\SMR162.dat
2011-05-25 11:07 . 2011-05-25 11:07 76920 ----a-w- c:\windows\system32\drivers\SMR162.SYS
2011-05-25 11:07 . 2011-05-25 11:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2011-05-25 11:06 . 2011-05-25 11:58 -------- d-----w- c:\documents and settings\Cristina\Local Settings\Application Data\NPE
2011-05-25 10:36 . 2011-05-25 10:36 -------- d-sh--w- c:\documents and settings\Cristina\IECompatCache
2011-05-25 10:11 . 2011-05-25 10:11 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2011-05-24 21:07 . 2004-08-05 08:00 4224 ----a-w- c:\windows\system32\beep.sys
2011-05-24 21:02 . 2011-05-24 21:02 -------- d-s---w- c:\documents and settings\LocalService\IETldCache
2011-05-11 20:39 . 2011-05-11 20:39 -------- d-----w- c:\program files\iPod
2011-05-11 20:33 . 2011-05-11 20:33 -------- d-----w- c:\program files\Bonjour
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\documents and settings\Cristina\Application Data\Malwarebytes
2011-05-10 20:22 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-10 20:22 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-10 12:10 . 2010-08-29 18:38 40112 ----a-w- c:\windows\avastSS.scr
2011-05-10 12:10 . 2010-08-29 18:38 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-05-10 12:03 . 2011-04-21 06:47 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-05-10 12:03 . 2010-08-29 18:39 307928 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-05-10 12:02 . 2010-08-29 18:39 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-05-10 12:02 . 2010-08-29 18:39 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-05-10 12:02 . 2010-08-29 18:39 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-05-10 11:59 . 2010-08-29 18:39 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-05-10 11:59 . 2010-08-29 18:39 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-05-10 11:59 . 2010-08-29 18:39 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-04-06 14:20 . 2011-04-06 14:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20 75040 ----a-w- c:\windows\system32\jdns_sd.dll
2011-04-06 14:20 . 2011-04-06 14:20 197920 ----a-w- c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2011-03-07 05:33 . 2004-08-05 08:00 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-05 08:00 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-05 08:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2010-12-16 20:47 . 2010-12-16 20:46 3389035 -c--a-w- c:\program files\emule_emule_0.50a_francais_10876.exe
2010-08-29 18:16 . 2010-08-29 18:12 49513448 -c--a-w- c:\program files\setup_av_free_fre.exe
2006-03-21 13:52 . 2007-11-06 20:13 4194304 -c--a-w- c:\program files\hrpjna01.dat
2005-10-13 12:18 . 2007-11-06 20:13 131072 -c--a-w- c:\program files\Reader.clk
2005-08-22 15:40 . 2007-11-06 20:13 81920 -c--a-w- c:\program files\unwise.adf
.
.
((((((((((((((((((((((((((((( SnapShot@2011-05-31_02.03.26 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-06-18 16:59 . 2006-06-18 16:59 69120 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\xlicons.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 69120 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\xlicons.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 35328 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\wordicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 35328 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\wordicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 30208 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\pptico.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 30208 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\pptico.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 11264 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\PEicons.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 11264 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\PEicons.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 28160 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\misc.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 28160 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\misc.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 73216 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\fpicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 73216 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\fpicon.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 22528 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\bindico.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 22528 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\bindico.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 104960 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\outicon.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 104960 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\outicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 155136 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\accicons.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 155136 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\accicons.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-05-10 12:10 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2005-10-11 409600]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]
.
c:\documents and settings\Cristina\Menu D'marrer\Programmes\D'marrage\
HotSync Manager.LNK - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
LifeDriveT Manager.lnk - c:\program files\palmOne\LifeDriveMgrTray.exe [2005-4-28 86016]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-5-26 110592]
HotSync Manager.lnk - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
HP Digital Imaging Monitor.lnk - c:\program files\Hp\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
MioSync.lnk - c:\program files\Mio Technology\MioSync\mioSync.exe [N/A]
.
[HKLM\~\startupfolder\C:^Documents and Settings^Cristina^Menu Démarrer^Programmes^Démarrage^Antimalware Doctor.lnk]
path=c:\documents and settings\Cristina\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnkStartup
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\palmOne\\Hotsync.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqtra08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxs08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqfxt08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\Hp\\HP Software Update\\hpwucli.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Program Files\\Samsung\\SAMSUNG PC Share Manager\\WiselinkPro.exe"=
"c:\\Program Files\\Samsung\\SAMSUNG PC Share Manager\\http_ss_win_pro.exe"=
"c:\\Program Files\\Fluendo\\Moovida\\Moovida.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [21/04/2011 08:47 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [29/08/2010 20:39 307928]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29/08/2010 20:39 19544]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/08/2005 11:06 231424]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 12:07 135664]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 12:07 135664]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [10/05/2011 22:22 38224]
S3 WiselinkPro;SAMSUNG WiselinkPro Service;c:\program files\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe [08/01/2009 10:38 4136960]
S4 Vax347b;Vax347b;c:\windows\system32\drivers\Vax347b.sys [22/10/2006 18:57 159616]
S4 Vax347s;Vax347s;c:\windows\system32\drivers\Vax347s.sys [22/10/2006 18:57 5248]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 10:07]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 10:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
Trusted Zone: cic.fr\www
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
BHO-{E2A7BD67-0EAF-497f-B05B-748D7BF3C421} - c:\program files\Fluendo\Moovida\spointer\extensions\moovida_air_ie.dll
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-31 10:51
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: TOSHIBA_MK8032GAX rev.AD002C -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
.
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8AAC553B
user & kernel MBR OK
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(736)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'Explorer.EXE'(1772)
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\windows\system32\wscntfy.exe
c:\program files\palmOne\PalmOneLiveConnect.exe
.
**************************************************************************
.
Heure de fin: 2011-05-31 10:59:24 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-05-31 08:59
ComboFix2.txt 2011-05-31 02:09
.
Avant-CF: 17 985 421 312 octets libres
Après-CF: 17 968 537 600 octets libres
.
Current=3 Default=3 Failed=4 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - 0397BA47CB07AEFD8D76277B93A50C11
as-tu bien utilisé deffoger avant combofix ?
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
File::
c:\windows\pss\Antimalware Doctor.lnkStartup
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Cristina^Menu Démarrer^Programmes^Démarrage^Antimalware Doctor.lnk]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
File::
c:\windows\pss\Antimalware Doctor.lnkStartup
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Cristina^Menu Démarrer^Programmes^Démarrage^Antimalware Doctor.lnk]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
voila :
ComboFix 11-05-30.06 - Cristina 31/05/2011 17:00:07.3.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1267 [GMT 2:00]
Lancé depuis: c:\documents and settings\Cristina\Bureau\Christophe.exe
Commutateurs utilisés :: c:\documents and settings\Cristina\Bureau\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
FILE ::
"c:\windows\pss\Antimalware Doctor.lnkStartup"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\pss\Antimalware Doctor.lnkStartup
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-28 au 2011-05-31 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-31 08:29 . 2011-05-31 08:59 -------- d-----w- C:\Christophe
2011-05-30 22:32 . 2011-05-30 22:36 -------- d-----w- C:\Kill'em
2011-05-29 17:40 . 2011-05-29 17:40 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple Computer
2011-05-29 11:33 . 2011-05-29 11:33 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-05-29 11:32 . 2011-05-29 11:32 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-25 11:56 . 2011-05-25 11:56 -------- d-----w- c:\documents and settings\Cristina\Application Data\RegistryKeys
2011-05-25 11:07 . 2011-05-25 11:07 946 ----a-w- c:\windows\system32\drivers\SMR162.dat
2011-05-25 11:07 . 2011-05-25 11:07 76920 ----a-w- c:\windows\system32\drivers\SMR162.SYS
2011-05-25 11:07 . 2011-05-25 11:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2011-05-25 11:06 . 2011-05-25 11:58 -------- d-----w- c:\documents and settings\Cristina\Local Settings\Application Data\NPE
2011-05-25 10:36 . 2011-05-25 10:36 -------- d-sh--w- c:\documents and settings\Cristina\IECompatCache
2011-05-25 10:11 . 2011-05-25 10:11 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2011-05-24 21:07 . 2004-08-05 08:00 4224 ----a-w- c:\windows\system32\beep.sys
2011-05-24 21:02 . 2011-05-24 21:02 -------- d-s---w- c:\documents and settings\LocalService\IETldCache
2011-05-11 20:39 . 2011-05-11 20:39 -------- d-----w- c:\program files\iPod
2011-05-11 20:33 . 2011-05-11 20:33 -------- d-----w- c:\program files\Bonjour
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\documents and settings\Cristina\Application Data\Malwarebytes
2011-05-10 20:22 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-10 20:22 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-10 12:10 . 2010-08-29 18:38 40112 ----a-w- c:\windows\avastSS.scr
2011-05-10 12:10 . 2010-08-29 18:38 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-05-10 12:03 . 2011-04-21 06:47 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-05-10 12:03 . 2010-08-29 18:39 307928 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-05-10 12:02 . 2010-08-29 18:39 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-05-10 12:02 . 2010-08-29 18:39 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-05-10 12:02 . 2010-08-29 18:39 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-05-10 11:59 . 2010-08-29 18:39 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-05-10 11:59 . 2010-08-29 18:39 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-05-10 11:59 . 2010-08-29 18:39 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-04-06 14:20 . 2011-04-06 14:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20 75040 ----a-w- c:\windows\system32\jdns_sd.dll
2011-04-06 14:20 . 2011-04-06 14:20 197920 ----a-w- c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2011-03-07 05:33 . 2004-08-05 08:00 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-05 08:00 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-05 08:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2010-12-16 20:47 . 2010-12-16 20:46 3389035 -c--a-w- c:\program files\emule_emule_0.50a_francais_10876.exe
2010-08-29 18:16 . 2010-08-29 18:12 49513448 -c--a-w- c:\program files\setup_av_free_fre.exe
2006-03-21 13:52 . 2007-11-06 20:13 4194304 -c--a-w- c:\program files\hrpjna01.dat
2005-10-13 12:18 . 2007-11-06 20:13 131072 -c--a-w- c:\program files\Reader.clk
2005-08-22 15:40 . 2007-11-06 20:13 81920 -c--a-w- c:\program files\unwise.adf
.
.
((((((((((((((((((((((((((((( SnapShot@2011-05-31_02.03.26 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-06-18 16:59 . 2006-06-18 16:59 69120 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\xlicons.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 69120 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\xlicons.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 35328 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\wordicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 35328 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\wordicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 30208 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\pptico.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 30208 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\pptico.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 11264 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\PEicons.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 11264 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\PEicons.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 28160 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\misc.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 28160 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\misc.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 73216 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\fpicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 73216 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\fpicon.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 22528 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\bindico.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 22528 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\bindico.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 104960 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\outicon.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 104960 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\outicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 155136 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\accicons.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 155136 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\accicons.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-05-10 12:10 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2005-10-11 409600]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]
.
c:\documents and settings\Cristina\Menu D'marrer\Programmes\D'marrage\
HotSync Manager.LNK - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
LifeDriveT Manager.lnk - c:\program files\palmOne\LifeDriveMgrTray.exe [2005-4-28 86016]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-5-26 110592]
HotSync Manager.lnk - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
HP Digital Imaging Monitor.lnk - c:\program files\Hp\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
MioSync.lnk - c:\program files\Mio Technology\MioSync\mioSync.exe [N/A]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\palmOne\\Hotsync.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqtra08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxs08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqfxt08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\Hp\\HP Software Update\\hpwucli.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Program Files\\Samsung\\SAMSUNG PC Share Manager\\WiselinkPro.exe"=
"c:\\Program Files\\Samsung\\SAMSUNG PC Share Manager\\http_ss_win_pro.exe"=
"c:\\Program Files\\Fluendo\\Moovida\\Moovida.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [21/04/2011 08:47 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [29/08/2010 20:39 307928]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29/08/2010 20:39 19544]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/08/2005 11:06 231424]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 12:07 135664]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 12:07 135664]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [10/05/2011 22:22 38224]
S3 WiselinkPro;SAMSUNG WiselinkPro Service;c:\program files\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe [08/01/2009 10:38 4136960]
S4 Vax347b;Vax347b;c:\windows\system32\drivers\Vax347b.sys [22/10/2006 18:57 159616]
S4 Vax347s;Vax347s;c:\windows\system32\drivers\Vax347s.sys [22/10/2006 18:57 5248]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 10:07]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 10:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
Trusted Zone: cic.fr\www
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-31 17:16
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: TOSHIBA_MK8032GAX rev.AD002C -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
.
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8AAC553B
user & kernel MBR OK
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'Explorer.EXE'(1772)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\windows\system32\wscntfy.exe
c:\program files\palmOne\PalmOneLiveConnect.exe
.
**************************************************************************
.
Heure de fin: 2011-05-31 17:24:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-05-31 15:24
ComboFix2.txt 2011-05-31 08:59
ComboFix3.txt 2011-05-31 02:09
.
Avant-CF: 17 926 246 400 octets libres
Après-CF: 17 962 057 728 octets libres
.
Current=3 Default=3 Failed=4 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - D1BCBA44A3A12EFB8E81AD4D401D5189
ComboFix 11-05-30.06 - Cristina 31/05/2011 17:00:07.3.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1267 [GMT 2:00]
Lancé depuis: c:\documents and settings\Cristina\Bureau\Christophe.exe
Commutateurs utilisés :: c:\documents and settings\Cristina\Bureau\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
FILE ::
"c:\windows\pss\Antimalware Doctor.lnkStartup"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\pss\Antimalware Doctor.lnkStartup
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-28 au 2011-05-31 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-31 08:29 . 2011-05-31 08:59 -------- d-----w- C:\Christophe
2011-05-30 22:32 . 2011-05-30 22:36 -------- d-----w- C:\Kill'em
2011-05-29 17:40 . 2011-05-29 17:40 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple Computer
2011-05-29 11:33 . 2011-05-29 11:33 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2011-05-29 11:32 . 2011-05-29 11:32 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-25 11:56 . 2011-05-25 11:56 -------- d-----w- c:\documents and settings\Cristina\Application Data\RegistryKeys
2011-05-25 11:07 . 2011-05-25 11:07 946 ----a-w- c:\windows\system32\drivers\SMR162.dat
2011-05-25 11:07 . 2011-05-25 11:07 76920 ----a-w- c:\windows\system32\drivers\SMR162.SYS
2011-05-25 11:07 . 2011-05-25 11:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2011-05-25 11:06 . 2011-05-25 11:58 -------- d-----w- c:\documents and settings\Cristina\Local Settings\Application Data\NPE
2011-05-25 10:36 . 2011-05-25 10:36 -------- d-sh--w- c:\documents and settings\Cristina\IECompatCache
2011-05-25 10:11 . 2011-05-25 10:11 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2011-05-24 21:07 . 2004-08-05 08:00 4224 ----a-w- c:\windows\system32\beep.sys
2011-05-24 21:02 . 2011-05-24 21:02 -------- d-s---w- c:\documents and settings\LocalService\IETldCache
2011-05-11 20:39 . 2011-05-11 20:39 -------- d-----w- c:\program files\iPod
2011-05-11 20:33 . 2011-05-11 20:33 -------- d-----w- c:\program files\Bonjour
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\documents and settings\Cristina\Application Data\Malwarebytes
2011-05-10 20:22 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-05-10 20:22 . 2011-05-10 20:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-10 20:22 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-10 12:10 . 2010-08-29 18:38 40112 ----a-w- c:\windows\avastSS.scr
2011-05-10 12:10 . 2010-08-29 18:38 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-05-10 12:03 . 2011-04-21 06:47 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-05-10 12:03 . 2010-08-29 18:39 307928 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-05-10 12:02 . 2010-08-29 18:39 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-05-10 12:02 . 2010-08-29 18:39 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-05-10 12:02 . 2010-08-29 18:39 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-05-10 11:59 . 2010-08-29 18:39 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-05-10 11:59 . 2010-08-29 18:39 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-05-10 11:59 . 2010-08-29 18:39 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-04-06 14:20 . 2011-04-06 14:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20 75040 ----a-w- c:\windows\system32\jdns_sd.dll
2011-04-06 14:20 . 2011-04-06 14:20 197920 ----a-w- c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2011-03-07 05:33 . 2004-08-05 08:00 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-05 08:00 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-05 08:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2010-12-16 20:47 . 2010-12-16 20:46 3389035 -c--a-w- c:\program files\emule_emule_0.50a_francais_10876.exe
2010-08-29 18:16 . 2010-08-29 18:12 49513448 -c--a-w- c:\program files\setup_av_free_fre.exe
2006-03-21 13:52 . 2007-11-06 20:13 4194304 -c--a-w- c:\program files\hrpjna01.dat
2005-10-13 12:18 . 2007-11-06 20:13 131072 -c--a-w- c:\program files\Reader.clk
2005-08-22 15:40 . 2007-11-06 20:13 81920 -c--a-w- c:\program files\unwise.adf
.
.
((((((((((((((((((((((((((((( SnapShot@2011-05-31_02.03.26 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-06-18 16:59 . 2006-06-18 16:59 69120 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\xlicons.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 69120 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\xlicons.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 35328 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\wordicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 35328 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\wordicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 30208 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\pptico.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 30208 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\pptico.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 11264 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\PEicons.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 11264 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\PEicons.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 28160 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\misc.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 28160 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\misc.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 73216 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\fpicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 73216 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\fpicon.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 22528 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\bindico.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 22528 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\bindico.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 104960 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\outicon.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 104960 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\outicon.exe
+ 2006-06-18 16:59 . 2011-05-31 03:13 155136 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\accicons.exe
- 2006-06-18 16:59 . 2006-06-18 16:59 155136 c:\windows\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}\accicons.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-05-10 12:10 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2005-10-11 409600]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]
.
c:\documents and settings\Cristina\Menu D'marrer\Programmes\D'marrage\
HotSync Manager.LNK - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
LifeDriveT Manager.lnk - c:\program files\palmOne\LifeDriveMgrTray.exe [2005-4-28 86016]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-5-26 110592]
HotSync Manager.lnk - c:\program files\palmOne\Hotsync.exe [2004-6-9 471040]
HP Digital Imaging Monitor.lnk - c:\program files\Hp\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
MioSync.lnk - c:\program files\Mio Technology\MioSync\mioSync.exe [N/A]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\palmOne\\Hotsync.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqtra08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxs08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqfxt08.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\Hp\\HP Software Update\\hpwucli.exe"=
"c:\\Program Files\\Hp\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Program Files\\Samsung\\SAMSUNG PC Share Manager\\WiselinkPro.exe"=
"c:\\Program Files\\Samsung\\SAMSUNG PC Share Manager\\http_ss_win_pro.exe"=
"c:\\Program Files\\Fluendo\\Moovida\\Moovida.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [21/04/2011 08:47 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [29/08/2010 20:39 307928]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29/08/2010 20:39 19544]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/08/2005 11:06 231424]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 12:07 135664]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 12:07 135664]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [10/05/2011 22:22 38224]
S3 WiselinkPro;SAMSUNG WiselinkPro Service;c:\program files\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe [08/01/2009 10:38 4136960]
S4 Vax347b;Vax347b;c:\windows\system32\drivers\Vax347b.sys [22/10/2006 18:57 159616]
S4 Vax347s;Vax347s;c:\windows\system32\drivers\Vax347s.sys [22/10/2006 18:57 5248]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 10:07]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 10:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
Trusted Zone: cic.fr\www
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-31 17:16
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: TOSHIBA_MK8032GAX rev.AD002C -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
.
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8AAC553B
user & kernel MBR OK
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'Explorer.EXE'(1772)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\windows\system32\wscntfy.exe
c:\program files\palmOne\PalmOneLiveConnect.exe
.
**************************************************************************
.
Heure de fin: 2011-05-31 17:24:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-05-31 15:24
ComboFix2.txt 2011-05-31 08:59
ComboFix3.txt 2011-05-31 02:09
.
Avant-CF: 17 926 246 400 octets libres
Après-CF: 17 962 057 728 octets libres
.
Current=3 Default=3 Failed=4 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - D1BCBA44A3A12EFB8E81AD4D401D5189
