Sujet Précédent Sujet Suivant

SOS pour compréhension d'un rapport Highjakth

Fermé
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011 - 18 juil. 2011 à 16:49
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011 - 25 juil. 2011 à 22:39
Bonjour,

Je suis toute nouvelle sur le forum .

Voilà mon souci: régulièrement, lorsque je souhaite ouvrir une page internet, s'en est une autre qui s'ouvre (goméo, ebay ou autre site redirigé).
Après quelques recherches, j'ai généré un rapport HighjackThis, mais n'y connaissant rien, je suis incapable de le déchiffrer et de plus, j'ai peur de commettre un erreur.

Est ce qu'une âme charitable pourrait m'aider à résoudre mon problème s'il vous plait?

Voici le rapport:

logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:22, on 18/07/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\SRS Labs\SRS Premium Sound\SRS_VolSync.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\PersistenceThread.exe
C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
C:\Program Files\EeePC\ACPI\AsEPCMon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Asus\LiveUpdate\LiveUpdate.exe
C:\Program Files\ASUS\Eee Storage\BackupService.exe
C:\WINDOWS\AsScrPro.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe
C:\Program Files\ASUS\Eee Docking\Eee Docking.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\Uniblue\RegistryBooster\registrybooster.exe
C:\Program Files\Microsoft Works\WkCalRem.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww7.wuuta.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyMode] "%ProgramFiles%\\ASUS\\Easy Mode\\Easy Mode.exe" --limitedUserImportRegister
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PersistenceThread] C:\WINDOWS\system32\PersistenceThread.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [LiveUpdate] C:\Program Files\Asus\LiveUpdate\LiveUpdate.exe auto
O4 - HKLM\..\Run: [EeeStorageBackup] C:\Program Files\ASUS\Eee Storage\BackupService.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\WINDOWS\AsScrPro.exe
O4 - HKLM\..\Run: [SynAsusAcpi] C:\Program Files\Synaptics\SynTP\SynAsusAcpi.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [SRS Premium Sound] "C:\Program Files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" /hideme
O4 - HKCU\..\Run: [Eee Docking] C:\Program Files\ASUS\Eee Docking\Eee Docking.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: wkcalrem.LNK = C:\Program Files\Microsoft Works\WkCalRem.exe
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E9B39AC7-B9FB-48CA-84A0-1659A06B0002} (ActiveFormX Element) - http://www.wohnmoebel.de/Panthel-Rudolf/install/KPSA-Home%20PTRS.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igdlogin - C:\WINDOWS\SYSTEM32\igdlogin.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SRS Volume Sync Service (SRS_VolSync_Service) - SRS Labs, Inc. - C:\Program Files\SRS Labs\SRS Premium Sound\SRS_VolSync.exe

18 réponses

Réponse 1 / 18
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
18 juil. 2011 à 17:17
Salut,

Peux-tu commencer par passer Ad-Remover:

● Télécharge Ad-Remover sur ton bureau en cliquant sur le bouton Download de cette page

● Double clique sur AD-R.exe

● Au menu principal choisis l'option "Nettoyer"

● Patiente pendant que l'outil fait son travail

● Un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport est sauvegardé dans C:\Ad-report.log

Note : Ad-Remover peut être détecté à tort par certains antivirus, ignore l'alerte.
0
Réponse 2 / 18
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011
18 juil. 2011 à 18:55
Merci H3RV3,

voici le rapport de AD remover:

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:36:34 le 18/07/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
charissou@CATHY ( )

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
Clé supprimée: HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}


============== SCAN ADDITIONNEL ==============

**** Google Chrome Version [12.0.742.122] ****


-- C:\Documents and Settings\charissou\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.com
Preferences - homepage_is_newtabpage: false
Plugin - Chrome NaCl (Activé: false) (C:\Documents and Settings\charissou\Local Settings\Application Data\Google\Chrome\Application\12.0.742.122\ppGoogleNaClPluginChrome.dll)
Plugin - "Java" (Activé: true)
Plugin - "Silverlight" (Activé: true)
Plugin - "Chrome NaCl" (Activé: false)

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 12 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 18/07/2011 18:40:22 (1414 Octet(s))

Fin à: 18:42:29, 18/07/2011



A plus.
0
Réponse 3 / 18
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
18 juil. 2011 à 20:14
Bon, rien ici, on va analyser ton PC :

● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

● Double clique sur ZHPDiag_silent.exe

● Patiente pendant le scan. Un rapport s'ouvrira à la fin.

● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

Note :
Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.
0
Réponse 4 / 18
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011
18 juil. 2011 à 21:33
ok j'ai téléchargé ZHP Diag, mais mon PC a bugé 2 foic durant le scan ... je réessaie.

Merci beaucoup de ton aide
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011
18 juil. 2011 à 21:49
Salut,
il a à nouveau bloqué lors de l'élaboration du rapport.
Je suis obligée alors de sortir la batterie...
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
18 juil. 2011 à 22:35
Pourrais-tu être plus précis quand tu dis qu'il bug (affichage d'un écran spécial, écran noir/bleu, plus rien ne répond).
0
Réponse 6 / 18
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011
18 juil. 2011 à 22:40
En effet, je n'est pas été très claire.
En fait, plus rien ne répond et ce, à 80% de l'élaboration du rapport.
0
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011
18 juil. 2011 à 22:50
J'ai uniquement réussi à avoir ce rapport de scan mais pas l'analyse complète

Rapport de ZHPScan v1.27 par Nicolas Coolman, Update du 18/07/2011
Run by charissou at 18/07/2011 22:44:23
Web site : http://www.premiumorange.com/zeb-help-process/zhpdiag.html


---\\ Clés de Registre trouvées (Registry Keys found)
[HKLM\Software\Classes\toolband.easyhidebtn] =>Toolbar.Agent
[HKLM\Software\Classes\toolband.easyhidebtn.1] =>Toolbar.Agent
[HKLM\Software\Classes\toolband.skypeiehelper] =>Toolbar.Agent
[HKLM\Software\Classes\toolband.skypeiehelper.1] =>Toolbar.Agent

---\\ Valeurs de clé de Registre trouvées (Registry Values found)
*** None ***

---\\ Dossiers trouvés (Directories found)
*** None ***

---\\ Fichiers trouvés (Files found)
*** None ***

---\\ Bilan de la recherche (Scan Result)
Database Version : 8520 - (18/07/2011)
Clés trouvées (Keys found) : 4
Valeurs de clé trouvées (Values found) : 0
Dossiers trouvés (Folders found) : 0
Fichiers trouvés (Files found) : 0

End of the scan in 00mn 18s
0
Réponse 7 / 18
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
19 juil. 2011 à 08:53
Non, ce rapport n'est pas le bon.

Essaie comme çà :

● Double clique sur ZHPDiag présent sur ton bureau

● Clique sur l'icône représentant un tournevis ("Options") et décoche la case MBR O80

● Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

● Ferme ZHPDiag, héberge le rapport ZHPDiag.txt présent sur ton bureau sur le site ci-joint puis copie/colle le lien fourni dans ta réponse
0
Réponse 8 / 18
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011
19 juil. 2011 à 22:23
Bonsoir H3RV3,

désolée pour le délai, mais j'ai repris le travail aujourd'hui!

J'ai réussi cette fois à généner le rapport ZHPDiag comme tu me l'as expliqué.

Voici le lien ... qui ne fonctionne pas non plus je crois ! (en fait je n'arrive pas à le créer)

<a href="http://www.cijoint.fr/cjlink.php?file=cj201107/cijjb5gTdN.txt" </a>

Merci et à plus
0
Réponse 9 / 18
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
19 juil. 2011 à 23:23
Rien de visible sur le rapport, fais ceci :

● Télécharge TDSSKiller sur ton bureau

● Sous XP : Double clique sur tdsskiller.exe
● Sous Vista/7 : Fais un clic droit sur tdsskiller.exe et sélectionne "Exécuter en tant qu'administrateur"

● Clique sur "Start Scan" pour démarrer le scan

● En cas de détection, clique sur "Continue" puis sur "Reboot Now"

● Un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport est sauvegardé dans C:\TDSSKiller.N°deversion_Date_Heure_log.txt
0
Réponse 10 / 18
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011
20 juil. 2011 à 22:27
Salut H3RV3,


voici le rapport TDSSKILLER:


2011/07/20 22:19:47.0687 3392 TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56
2011/07/20 22:19:48.0296 3392 ================================================================================
2011/07/20 22:19:48.0296 3392 SystemInfo:
2011/07/20 22:19:48.0296 3392
2011/07/20 22:19:48.0296 3392 OS Version: 5.1.2600 ServicePack: 3.0
2011/07/20 22:19:48.0296 3392 Product type: Workstation
2011/07/20 22:19:48.0296 3392 ComputerName: CATHY
2011/07/20 22:19:48.0296 3392 UserName: charissou
2011/07/20 22:19:48.0296 3392 Windows directory: C:\WINDOWS
2011/07/20 22:19:48.0296 3392 System windows directory: C:\WINDOWS
2011/07/20 22:19:48.0296 3392 Processor architecture: Intel x86
2011/07/20 22:19:48.0296 3392 Number of processors: 2
2011/07/20 22:19:48.0296 3392 Page size: 0x1000
2011/07/20 22:19:48.0296 3392 Boot type: Normal boot
2011/07/20 22:19:48.0296 3392 ================================================================================
2011/07/20 22:19:49.0875 3392 Initialize success
2011/07/20 22:20:08.0796 3652 ================================================================================
2011/07/20 22:20:08.0796 3652 Scan started
2011/07/20 22:20:08.0796 3652 Mode: Manual;
2011/07/20 22:20:08.0796 3652 ================================================================================
2011/07/20 22:20:10.0250 3652 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/07/20 22:20:10.0328 3652 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
2011/07/20 22:20:10.0437 3652 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/07/20 22:20:10.0531 3652 AFD (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
2011/07/20 22:20:10.0812 3652 Ambfilt (f6af59d6eee5e1c304f7f73706ad11d8) C:\WINDOWS\system32\drivers\Ambfilt.sys
2011/07/20 22:20:11.0015 3652 AR5416 (d3e782ad9dca4d6215222a43345f43b0) C:\WINDOWS\system32\DRIVERS\athw.sys
2011/07/20 22:20:11.0265 3652 AsusACPI (12415a4b61ded200fe9932b47a35fa42) C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys
2011/07/20 22:20:11.0343 3652 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/07/20 22:20:11.0406 3652 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/07/20 22:20:11.0531 3652 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/07/20 22:20:11.0593 3652 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/07/20 22:20:11.0671 3652 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/07/20 22:20:11.0921 3652 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/07/20 22:20:11.0968 3652 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/07/20 22:20:12.0046 3652 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/07/20 22:20:12.0109 3652 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/07/20 22:20:12.0140 3652 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/07/20 22:20:12.0234 3652 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/07/20 22:20:12.0328 3652 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/07/20 22:20:12.0500 3652 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/07/20 22:20:12.0593 3652 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/07/20 22:20:12.0687 3652 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/07/20 22:20:12.0750 3652 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/07/20 22:20:12.0812 3652 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/07/20 22:20:12.0890 3652 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/07/20 22:20:13.0015 3652 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/07/20 22:20:13.0062 3652 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/07/20 22:20:13.0109 3652 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/07/20 22:20:13.0171 3652 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/07/20 22:20:13.0250 3652 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/07/20 22:20:13.0343 3652 fssfltr (e0087225b137e57239ff40f8ae82059b) C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys
2011/07/20 22:20:13.0390 3652 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/07/20 22:20:13.0437 3652 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/07/20 22:20:13.0484 3652 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
2011/07/20 22:20:13.0562 3652 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/07/20 22:20:13.0640 3652 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/07/20 22:20:13.0750 3652 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/07/20 22:20:13.0890 3652 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/07/20 22:20:14.0062 3652 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/07/20 22:20:14.0312 3652 igd (4a1e0f6367ff47f87cbe8a7ecf38b01d) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
2011/07/20 22:20:14.0531 3652 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/07/20 22:20:14.0890 3652 IntcAzAudAddService (afa6853aa949b5e151e4a10f6805b5b2) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/07/20 22:20:15.0156 3652 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/07/20 22:20:15.0203 3652 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/07/20 22:20:15.0250 3652 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/07/20 22:20:15.0281 3652 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/07/20 22:20:15.0343 3652 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/07/20 22:20:15.0375 3652 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/07/20 22:20:15.0437 3652 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/07/20 22:20:15.0531 3652 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/07/20 22:20:15.0578 3652 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/07/20 22:20:15.0640 3652 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/07/20 22:20:15.0703 3652 L1c (6c8658587e91ea25b0fd2e71781ad228) C:\WINDOWS\system32\DRIVERS\l1c51x86.sys
2011/07/20 22:20:15.0875 3652 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/07/20 22:20:15.0937 3652 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/07/20 22:20:16.0046 3652 Monfilt (9fa7207d1b1adead88ae8eed9cdbbaa5) C:\WINDOWS\system32\drivers\Monfilt.sys
2011/07/20 22:20:16.0156 3652 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/07/20 22:20:16.0218 3652 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/07/20 22:20:16.0296 3652 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/07/20 22:20:16.0421 3652 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/07/20 22:20:16.0500 3652 MRxSmb (0dc719e9b15e902346e87e9dcd5751fa) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/07/20 22:20:16.0593 3652 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/07/20 22:20:16.0656 3652 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/07/20 22:20:16.0687 3652 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/07/20 22:20:16.0718 3652 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/07/20 22:20:16.0781 3652 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/07/20 22:20:16.0828 3652 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/07/20 22:20:16.0875 3652 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
2011/07/20 22:20:16.0921 3652 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/07/20 22:20:17.0000 3652 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/07/20 22:20:17.0062 3652 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/07/20 22:20:17.0109 3652 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/07/20 22:20:17.0171 3652 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/07/20 22:20:17.0250 3652 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/07/20 22:20:17.0312 3652 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/07/20 22:20:17.0343 3652 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/07/20 22:20:17.0421 3652 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/07/20 22:20:17.0515 3652 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/07/20 22:20:17.0609 3652 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/07/20 22:20:17.0750 3652 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/07/20 22:20:17.0812 3652 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/07/20 22:20:17.0859 3652 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/07/20 22:20:17.0937 3652 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\drivers\Parport.sys
2011/07/20 22:20:17.0968 3652 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/07/20 22:20:18.0015 3652 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/07/20 22:20:18.0062 3652 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/07/20 22:20:18.0125 3652 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/07/20 22:20:18.0187 3652 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/07/20 22:20:18.0500 3652 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/07/20 22:20:18.0562 3652 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/07/20 22:20:18.0593 3652 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/07/20 22:20:18.0796 3652 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/07/20 22:20:18.0828 3652 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/07/20 22:20:18.0890 3652 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/07/20 22:20:18.0921 3652 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/07/20 22:20:18.0984 3652 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/07/20 22:20:19.0031 3652 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/07/20 22:20:19.0109 3652 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/07/20 22:20:19.0187 3652 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/07/20 22:20:19.0312 3652 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/07/20 22:20:19.0390 3652 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\drivers\Serial.sys
2011/07/20 22:20:19.0437 3652 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/07/20 22:20:19.0562 3652 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/07/20 22:20:19.0640 3652 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/07/20 22:20:19.0703 3652 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/07/20 22:20:19.0781 3652 SRS_PremiumSound_Service (7d7ad4aba007e20acc35cab03b28a935) C:\WINDOWS\system32\drivers\srs_PremiumSound_i386.sys
2011/07/20 22:20:19.0875 3652 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/07/20 22:20:19.0937 3652 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/07/20 22:20:20.0000 3652 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/07/20 22:20:20.0062 3652 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/07/20 22:20:20.0281 3652 SynTP (a10d781153bb23036b474ffedb448266) C:\WINDOWS\system32\DRIVERS\SynTP.sys
2011/07/20 22:20:20.0359 3652 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/07/20 22:20:20.0468 3652 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/07/20 22:20:20.0531 3652 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/07/20 22:20:20.0562 3652 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/07/20 22:20:20.0609 3652 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/07/20 22:20:20.0750 3652 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/07/20 22:20:20.0875 3652 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/07/20 22:20:20.0968 3652 USBAAPL (5c2bdc152bbab34f36473deaf7713f22) C:\WINDOWS\system32\Drivers\usbaapl.sys
2011/07/20 22:20:21.0015 3652 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/07/20 22:20:21.0062 3652 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/07/20 22:20:21.0093 3652 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/07/20 22:20:21.0156 3652 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/07/20 22:20:21.0218 3652 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/07/20 22:20:21.0250 3652 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/07/20 22:20:21.0312 3652 usbvideo (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
2011/07/20 22:20:21.0359 3652 uvclf (c019889035cdc1a06f2febc93cbb6897) C:\WINDOWS\system32\DRIVERS\uvclf.sys
2011/07/20 22:20:21.0421 3652 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/07/20 22:20:21.0515 3652 VolSnap (4d39b6fbf65832f9ae75d8157694afb0) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/07/20 22:20:21.0515 3652 Suspicious file (Forged): C:\WINDOWS\system32\drivers\VolSnap.sys. Real md5: 4d39b6fbf65832f9ae75d8157694afb0, Fake md5: 46de1126684369bace4849e4fc8c43ca
2011/07/20 22:20:21.0531 3652 VolSnap - detected Rootkit.Win32.TDSS.tdl3 (0)
2011/07/20 22:20:21.0593 3652 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/07/20 22:20:21.0671 3652 Wdf01000 (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/07/20 22:20:21.0812 3652 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/07/20 22:20:21.0921 3652 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
2011/07/20 22:20:22.0031 3652 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/07/20 22:20:22.0109 3652 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/07/20 22:20:22.0140 3652 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/07/20 22:20:22.0250 3652 MBR (0x1B8) (8f558eb6672622401da993e1e865c861) \Device\Harddisk0\DR0
2011/07/20 22:20:22.0437 3652 Boot (0x1200) (dcf7fea219e430c011a61f145d5a0315) \Device\Harddisk0\DR0\Partition0
2011/07/20 22:20:22.0500 3652 Boot (0x1200) (35ea19c2cc33d420d105fc2c4c657373) \Device\Harddisk0\DR0\Partition1
2011/07/20 22:20:22.0515 3652 ================================================================================
2011/07/20 22:20:22.0515 3652 Scan finished
2011/07/20 22:20:22.0515 3652 ================================================================================
2011/07/20 22:20:22.0546 3648 Detected object count: 1
2011/07/20 22:20:22.0546 3648 Actual detected object count: 1
2011/07/20 22:20:51.0609 3648 VolSnap (4d39b6fbf65832f9ae75d8157694afb0) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/07/20 22:20:51.0609 3648 Suspicious file (Forged): C:\WINDOWS\system32\drivers\VolSnap.sys. Real md5: 4d39b6fbf65832f9ae75d8157694afb0, Fake md5: 46de1126684369bace4849e4fc8c43ca
2011/07/20 22:20:53.0171 3648 Backup copy found, using it..
2011/07/20 22:20:53.0343 3648 C:\WINDOWS\system32\drivers\VolSnap.sys - will be cured after reboot
2011/07/20 22:20:53.0343 3648 Rootkit.Win32.TDSS.tdl3(VolSnap) - User select action: Cure
2011/07/20 22:21:05.0796 1360 Deinitialize success


Bonne soirée
0
Réponse 11 / 18
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
20 juil. 2011 à 23:23
Parfait, redémarre ton PC et dis-moi comment il se comporte.
0
Réponse 12 / 18
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011
21 juil. 2011 à 21:35
Bonsoir H3RV3,

je n'ai pas passé des heures sur mon PC, mais jusqu' présent, il ne me redirige plus vers d'autres sites.
GENIAL et un grand MERCI.
C'est super sympa de ta part.
Si tu as 5 minutes, est ce que tu pourrais, s'il te plait, m'expliquer quelle était la différence entre les différents scans que tu m'as fait faire et quel était le problème en final? ça m'interesserai de comprendre.

Encore merci et à plus.
0
Réponse 13 / 18
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
22 juil. 2011 à 10:30
Salut,

En gros, les deux premiers rapports (Ad-Remover et ZHPDiag) ne montraient aucune infection visible sur ton PC.
Il s'agissait donc probablement d'un rootkit.
Voir ici pour plus de détail sur l'infection : https://forum.malekal.com/viewtopic.php?t=21456&start= (merci à Malekal).


Pour continuer :

● Télécharge Malwarebytes' Anti-Malware (MBAM)

● Double clique sur mbam-setup.exe pour lancer l'installation

● Laisse les options par défaut lors de l'installation

● Lance MBAM et laisse les Mises à jour se télécharger

● Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

● A la fin du scan, clique sur Afficher les résultats

● Coche tous les éléments détectés puis clique sur Supprimer la sélection

● S'il t'est demandé de redémarrer, clique sur Yes

● Un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport se trouve dans l'onglet Rapports/Logs de MBAM
0
Réponse 14 / 18
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011
23 juil. 2011 à 12:50
Salut,

merci pour ces explications très intéressante pour une "ignare" comme moi !
Voici le rapport:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7232

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23/07/2011 12:41:08
mbam-log-2011-07-23 (12-41-08).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 206142
Temps écoulé: 14 heure(s), 31 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


A plus
0
Réponse 15 / 18
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
23 juil. 2011 à 13:30
OK, çà a l'air bon, la suite :

On va supprimer les différents outils utilisés :

● Télécharge DelFix.exe sur ton Bureau

● Double clique sur DelFix.exe

● Choisis l'option 2 (Suppression) et valide avec Entrée

● Patiente pendant que l'outil travaille, un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport est sauvegardé dans C:\DelFixSuppr.txt


Tu peux supprimer DelFix.exe


Suppression des points de restauration :
● Clique sur Démarrer
● Clique droit sur Poste de travail
● Clique sur Propriétés
● Clique sur l'onglet Restauration du système
● Clique sur Restauration système
● Coche la case Désactiver la Restauration du système sur tous les lecteurs
● Clique sur Appliquer
● Clique sur Oui au message "Voulez-vous vraiment désactiver la restauration système ?"
● Décoche la case Désactiver la Restauration du système sur tous les lecteurs
● Clique sur Appliquer
● Clique sur OK

Création d'un nouveau point de restauration :
● Clique sur Démarrer
● Clique sur Programmes
● Clique sur Accessoires
● Clique sur Outils système
● Clique sur Restauration système
● Active la restauration si un message le demande
● Sélectionne Créer un point de restauration
● Clique sur Suivant
● Entre une Description
● Clique sur Créer
● Clique sur Fermer
0
Réponse 16 / 18
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011
24 juil. 2011 à 13:48
salut,

désolée pour le retard, voici le rapport delfix:

# DelFix v8.2 - Rapport créé le 24/07/2011 à 13:41
# Mis à jour le 22/07/11 à 14h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : charissou - CATHY (Administrateur)
# Exécuté depuis : C:\Documents and Settings\charissou\Local Settings\Temporary Internet Files\Content.IE5\23PS2EML\delfix0[1].exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\trend micro\Hijackthis
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Hijackthis
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\TDSSKiller.2.5.11.0_20.07.2011_22.19.47_log.txt
Supprimé : C:\Documents and Settings\charissou\Bureau\AD-R.lnk
Supprimé : C:\Documents and Settings\charissou\Bureau\HijackThis.lnk
Supprimé : C:\Documents and Settings\charissou\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\charissou\Bureau\ZHP_uninstall.exe
Supprimé : C:\Documents and Settings\charissou\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\charissou\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\charissou\Bureau\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1956 octets] ##########
0
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011
Modifié par catbree le 24/07/2011 à 14:03
J'ai fait toutees les autres manipulations également.
Est ce qu'il faut encore faire autre chose et pourrais tu me dire quel est le meilleur anti virus à utiliser?

Merci
0
Réponse 17 / 18
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
25 juil. 2011 à 18:06
Salut,

Pour les antivirus, aucun n'est infaillible et se valent plus ou moins tous (à part quelques passoires).
En gratuit, tu as principalement Avast, Antivir et Microsoft Security Essentials
Voir ici : https://forum.malekal.com/viewtopic.php?t=23535&start=


Ensuite :

Pour garder tes logiciels à jour, tu peux utiliser régulièrement Update Checker comme ceci :

● Télécharge Update Checker de FileHippo.com sur ton bureau

● Exécute UpdateChecker.exe et patiente pendant qu'il vérifie les versions de tes logiciels installés

● Une page internet va s'ouvrir avec les mises à jour disponible

● Clique sur les flèches vertes pour accéder aux nouvelles mises à jour que tu souhaites installer (n'installe pas les programmes betas)


Tu peux garder Malwarebytes et Ccleaner afin de faire un scan de temps en temps avec.


Je te conseille aussi ces extensions pour améliorer la sécurité de la navigation avec Firefox :

● WOT (Web Of Trust) : cette extension permettra de savoir, quand tu accèdes à un site ou en faisant une recherche sur Google, s'il s'agit d'un site de confiance ou au contraire à éviter.
Lien de l'extension : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

● Adblock Plus : cette extension permet de bloquer les pages ou bannières publicitaires. Cela permet de ne pas être envahit par toutes les publicités et accélère l'accès aux pages web.
Lien de l'extension : https://addons.mozilla.org/fr/firefox/addon/adblock-plus/


A savoir :

Le plus grand risque d'infection, c'est toi.

Réfléchi avant d'ouvrir un mail, de télécharger un fichier, de cliquer sur un lien ou d'aller sur un réseau P2P.

Garde ton système d'exploitation ainsi que tous tes logiciels à jour.

Un peu de lecture : Sécuriser son ordinateur (merci à Malekal)

Si après çà tu n'as plus de problème/question, tu peux mettre le sujet en résolu
0
Réponse 18 / 18
catbree Messages postés 14 Date d'inscription lundi 18 juillet 2011 Statut Membre Dernière intervention 1 septembre 2011
25 juil. 2011 à 22:39
Bonsoir,

je voulais simplement te remercier pour ton aide et ta disponibilité.
Tu as été super!

A bientôt peut être et bonne soirée.
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
1fichier.com et bloqueur de pub
anthea1309 -
Patoche12 -

60 réponses
impossible d'afficher le tableau dynamique sur un rapport existant
Pierre -
Adrien71 -

3 réponses
Probleme bogue
Ines -
Pimmer -

1 réponse