Virus je peu plus rien faire

medha38 Messages postés 269 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Un programme doit me bloquer mon antivirus mon anti malware

Avira est en mode arête

Malware très Windows ne parvient pa a accéder au périphérique au chemin spécifique

J ai un processus 2451058056:2010310509.exe qui apparaît

Et en plus de sa mon programme de wifi ne marche pa il est a l arrêt

Merci d avance

37 réponses

  • 1
  • 2
Résumé de la discussion

Des blocages de l'antivirus Avira et des dysfonctionnements réseau sont signalés par un système Windows XP, avec un processus malveillant identifié sous un nom douteux. Plusieurs réponses suggèrent d'exécuter RogueKiller en options avancées et Malwarebytes' Anti-Malware, puis de relancer un balayage complet et de réinstaller Avira après suppression des éléments suspects. Le fil rapporte un rapport ComboFix détaillant des fichiers et clés de registre infectés, et des éléments démarrage potentiellement compromis, ce qui justifie une désinfection en mode sans échec et des répertoires à nettoyer. En cas de persistance, la suite préconise de transmettre les rapports générés par RogueKiller et Malwarebytes sur le fil, sans redémarrer prématurément, afin d'affiner les mesures de désinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jimmy1120112 Messages postés 713 Statut Membre 61
     
    Salut,

    Fait un nettoyage comme suit : Nettoyer son pc

    En plus avec ce programmes : Glary Utilities

    Et celui-ci : Malwarebytes Anti-Malware

    Puis dit nous de tes nouvelles...
    Pensez a mettre RÉSOLU et de revenir pour signaler la résolution du problème.
    Cordialement.
    Jim
    0
  2. Utilisateur anonyme
     
    bonsoir,
    lis et suis ceci :

    * Télécharge en enregistre sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html
    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Sous Vista/Seven, clique droit, lancer en tant qu'administrateur
    tu n'as qu'à cliquer dessus ou les lancer!
    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 2 et valide

    * puis l'option 4

    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. *
    ==>S'il ne passe pas, change son nom en Winlogon.exe.<==

    0
  3. Medha38
     
    Bonsoir

    Roguekiller le détecte bien mais en supprimant il ne fait rien et l option 4 en quarantaine la même chose

    Par contre je n ai pas compris pour changer son nom en winlogon.exe

    Merci
    0
  4. Utilisateur anonyme
     
    bonjour,
    relance Roguekiller en options 2, puis 4, poste les rapports, ne redemarre pas le pc !

    puis enchaine avec ceci :

    * /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    ou ici :
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    /!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . Tu cliques droit dans le cadre de la réponse et coller
    . À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Medha38
     
    Bonsoir

    Rien a faire de que je démarre mbam je fais une recherche de virus il se referme tout seul je peux pa me connecter a ma free donc pa de connexion internet
    0
  7. Utilisateur anonyme
     
    bonjour,
    envoie les rapports de Roguekiller en option 2 et 4 pour que je puisse voir de quoi il s'agit !

    si je n'ai pas de rapport, je ne peux pas t'aider !

    0
  8. medha38 Messages postés 269 Statut Membre 18
     
    RogueKiller V5.3.3 [18/08/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Suppression -- Date : 31/08/2011 21:44:43

    Processus malicieux: 2
    [SUSP PATH] 2451058056:2010310509.exe -- c:\windows\2451058056:2010310509.exe -> KILLED [TermProc]
    [RESIDUE] 2451058056:2010310509.exe -- c:\windows\2451058056:2010310509.exe -> KILLED [TermProc]

    Entrees de registre: 8
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\Explorer : () -> ACCESS DENIED
    [] HKLM\[...]\Explorer : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED

    Fichiers / Dossiers particuliers:

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 ad.yieldmanager.com
    127.0.0.1 advertising.paltalk.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    [...]

    Termine : << RKreport[19].txt >>
    RKreport[10].txt ; RKreport[11].txt ; RKreport[12].txt ; RKreport[13].txt ; RKreport[14].txt ;
    RKreport[15].txt ; RKreport[16].txt ; RKreport[17].txt ; RKreport[18].txt ; RKreport[19].txt ;
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
    RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ; RKreport[9].txt
    0
  9. medha38 Messages postés 269 Statut Membre 18
     
    RogueKiller V5.3.3 [18/08/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Proxy RAZ -- Date : 31/08/2011 21:45:54

    Processus malicieux: 1
    [SUSP PATH] 2451058056:2010310509.exe -- c:\windows\2451058056:2010310509.exe -> KILLED [TermProc]

    Entrees de registre: 0

    Termine : << RKreport[20].txt >>
    RKreport[10].txt ; RKreport[11].txt ; RKreport[12].txt ; RKreport[13].txt ; RKreport[14].txt ;
    RKreport[15].txt ; RKreport[16].txt ; RKreport[17].txt ; RKreport[18].txt ; RKreport[19].txt ;
    RKreport[1].txt ; RKreport[20].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ;
    RKreport[5].txt ; RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ; RKreport[9].txt
    0
  10. medha38 Messages postés 269 Statut Membre 18
     
    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Suppression -- Date : 01/09/2011 09:04:25

    Processus malicieux: 2
    [SUSP PATH] 2451058056:2010310509.exe -- c:\windows\2451058056:2010310509.exe -> KILLED [TermProc]
    [RESIDUE] 2451058056:2010310509.exe -- c:\windows\2451058056:2010310509.exe -> KILLED [TermProc]

    Entrees de registre: 8
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\Explorer : () -> ACCESS DENIED
    [] HKLM\[...]\Explorer : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED

    Fichiers / Dossiers particuliers:

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 ad.yieldmanager.com
    127.0.0.1 advertising.paltalk.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    [...]

    Termine : << RKreport[21].txt >>
    0
  11. medha38 Messages postés 269 Statut Membre 18
     
    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Proxy RAZ -- Date : 01/09/2011 09:04:58

    Processus malicieux: 1
    [SUSP PATH] 2451058056:2010310509.exe -- c:\windows\2451058056:2010310509.exe -> KILLED [TermProc]

    Entrees de registre: 0

    Termine : << RKreport[22].txt >>
    0
  12. Utilisateur anonyme
     
    d'après mes recherches, tu es infecté par Zaccess !!!

    en gros, les fichiers système son patché par l'infection au demarrage !

    à lire :
    https://www.malekal.com/sirefef-b-rootkit-win32-zaccess-max/

    on va tenter de sauver ton pc !!!

    enregistre tes données seulement sur un autre support que ton disque dure !

    * Télécharge TDSSKiller sur ton bureau :

    https://support.kaspersky.com/downloads/utils/tdsskiller.exe

    * Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

    * Clique sur [Start Scan] pour démarrer l'analyse.

    * Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]

    * Un rapport s'ouvrira au redémarrage du PC.

    * Copie/Colle son contenu dans ta prochaine réponse.

    Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

    0
  13. medha38 Messages postés 269 Statut Membre 18
     
    2011/09/01 22:17:36.0734 2780 TDSS rootkit removing tool 2.5.17.0 Aug 22 2011 15:46:57
    2011/09/01 22:17:37.0125 2780 ================================================================================
    2011/09/01 22:17:37.0125 2780 SystemInfo:
    2011/09/01 22:17:37.0125 2780
    2011/09/01 22:17:37.0125 2780 OS Version: 5.1.2600 ServicePack: 3.0
    2011/09/01 22:17:37.0125 2780 Product type: Workstation
    2011/09/01 22:17:37.0125 2780 ComputerName:
    2011/09/01 22:17:37.0125 2780 UserName: Administrateur
    2011/09/01 22:17:37.0125 2780 Windows directory: C:\WINDOWS
    2011/09/01 22:17:37.0125 2780 System windows directory: C:\WINDOWS
    2011/09/01 22:17:37.0125 2780 Processor architecture: Intel x86
    2011/09/01 22:17:37.0125 2780 Number of processors: 2
    2011/09/01 22:17:37.0125 2780 Page size: 0x1000
    2011/09/01 22:17:37.0125 2780 Boot type: Normal boot
    2011/09/01 22:17:37.0125 2780 ================================================================================
    2011/09/01 22:17:38.0296 2780 Initialize success
    2011/09/01 22:17:41.0203 2204 ================================================================================
    2011/09/01 22:17:41.0203 2204 Scan started
    2011/09/01 22:17:41.0203 2204 Mode: Manual;
    2011/09/01 22:17:41.0203 2204 ================================================================================
    2011/09/01 22:17:42.0140 2204 882d1892 (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\2451058056:2010310509.exe
    2011/09/01 22:17:42.0140 2204 Suspicious file (Hidden): C:\WINDOWS\2451058056:2010310509.exe. md5: 8f2bb1827cac01aee6a16e30a1260199
    2011/09/01 22:17:42.0156 2204 882d1892 - detected HiddenFile.Multi.Generic (1)
    2011/09/01 22:17:45.0312 2204 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
    2011/09/01 22:17:46.0328 2204 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
    2011/09/01 22:17:48.0078 2204 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
    2011/09/01 22:17:49.0125 2204 AFD (4d43e74f2a1239d53929b82600f1971c) C:\WINDOWS\System32\drivers\afd.sys
    2011/09/01 22:17:54.0406 2204 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
    2011/09/01 22:17:57.0875 2204 Aspi32 (ed8cee58c1e4c5893f5b2fd686a272bf) C:\WINDOWS\system32\drivers\Aspi32.sys
    2011/09/01 22:17:58.0921 2204 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
    2011/09/01 22:18:00.0593 2204 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
    2011/09/01 22:18:01.0671 2204 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
    2011/09/01 22:18:01.0921 2204 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Program Files\Avira\AntiVir Desktop\avgio.sys
    2011/09/01 22:18:02.0781 2204 avgntflt (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
    2011/09/01 22:18:03.0671 2204 avipbb (5fedef54757b34fb611b9ec8fb399364) C:\WINDOWS\system32\DRIVERS\avipbb.sys
    2011/09/01 22:18:04.0609 2204 BthEnum (b279426e3c0c344893ed78a613a73bde) C:\WINDOWS\system32\DRIVERS\BthEnum.sys
    2011/09/01 22:18:05.0750 2204 BTHPORT (e928a210ea18ce1857888eae2d195252) C:\WINDOWS\system32\Drivers\BTHport.sys
    2011/09/01 22:18:06.0625 2204 BTHUSB (61364cd71ef63b0f038b7e9df00f1efa) C:\WINDOWS\system32\Drivers\BTHUSB.sys
    2011/09/01 22:18:07.0500 2204 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
    2011/09/01 22:18:08.0562 2204 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
    2011/09/01 22:18:10.0250 2204 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
    2011/09/01 22:18:11.0343 2204 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
    2011/09/01 22:18:12.0218 2204 Cdrom (4b0a100eaf5c49ef3cca8c641431eacc) C:\WINDOWS\system32\DRIVERS\cdrom.sys
    2011/09/01 22:18:14.0078 2204 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
    2011/09/01 22:18:15.0921 2204 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
    2011/09/01 22:18:19.0406 2204 Disk (47b6aaec570f2c11d8bad80a064d8ed1) C:\WINDOWS\system32\DRIVERS\disk.sys
    2011/09/01 22:18:20.0390 2204 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
    2011/09/01 22:18:21.0265 2204 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
    2011/09/01 22:18:22.0250 2204 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
    2011/09/01 22:18:23.0140 2204 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
    2011/09/01 22:18:25.0109 2204 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
    2011/09/01 22:18:26.0218 2204 dtsoftbus01 (555e54ac2f601a8821cef58961653991) C:\WINDOWS\system32\DRIVERS\dtsoftbus01.sys
    2011/09/01 22:18:27.0968 2204 exFat (4d893323dae445e34a4c9038b0551bc9) C:\WINDOWS\system32\drivers\exFat.sys
    2011/09/01 22:18:28.0843 2204 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
    2011/09/01 22:18:29.0875 2204 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
    2011/09/01 22:18:30.0703 2204 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
    2011/09/01 22:18:31.0875 2204 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
    2011/09/01 22:18:32.0703 2204 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
    2011/09/01 22:18:33.0578 2204 Fs_Rec (30d42943a54704ef13e2562911dbfcea) C:\WINDOWS\system32\drivers\Fs_Rec.sys
    2011/09/01 22:18:34.0750 2204 FTDIBUS (a36e8beedb3aaca09bf55a1d17904bc8) C:\WINDOWS\system32\drivers\ftdibus.sys
    2011/09/01 22:18:35.0656 2204 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
    2011/09/01 22:18:36.0531 2204 FTSER2K (a14a1f4bb391df9c233cb5dbd05feb70) C:\WINDOWS\system32\drivers\ftser2k.sys
    2011/09/01 22:18:37.0421 2204 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
    2011/09/01 22:18:37.0656 2204 GhPciScan (ddb5395d3c385b109b7d3ac57c9bd7a6) C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys
    2011/09/01 22:18:38.0765 2204 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
    2011/09/01 22:18:39.0609 2204 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
    2011/09/01 22:18:40.0484 2204 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
    2011/09/01 22:18:42.0343 2204 HpqKbFiltr (35956140e686d53bf676cf0c778880fc) C:\WINDOWS\system32\DRIVERS\HpqKbFiltr.sys
    2011/09/01 22:18:43.0187 2204 HpqRemHid (115c0933b3ed51dfbec4449348c8065b) C:\WINDOWS\system32\DRIVERS\HpqRemHid.sys
    2011/09/01 22:18:44.0265 2204 HTTP (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
    2011/09/01 22:18:46.0890 2204 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
    2011/09/01 22:18:47.0828 2204 iaStor (f4037a3fedb92dd97c95f320766ea5c9) C:\WINDOWS\system32\DRIVERS\iaStor.sys
    2011/09/01 22:18:48.0843 2204 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
    2011/09/01 22:18:50.0734 2204 IntcAzAudAddService (81b7003bf13ff3ac95d7b2d4c2e8f787) C:\WINDOWS\system32\drivers\RtkHDAud.sys
    2011/09/01 22:18:52.0750 2204 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
    2011/09/01 22:18:53.0593 2204 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
    2011/09/01 22:18:54.0671 2204 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
    2011/09/01 22:18:55.0578 2204 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
    2011/09/01 22:18:56.0500 2204 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
    2011/09/01 22:18:57.0421 2204 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
    2011/09/01 22:18:58.0312 2204 irda (aca5e7b54409f9cb5eed97ed0c81120e) C:\WINDOWS\system32\DRIVERS\irda.sys
    2011/09/01 22:18:59.0359 2204 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
    2011/09/01 22:19:00.0218 2204 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
    2011/09/01 22:19:00.0359 2204 ISODrive (bf71a06ff065e3fd7e32ea67dca34885) C:\Program Files\UltraISO\drivers\ISODrive.sys
    2011/09/01 22:19:01.0234 2204 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
    2011/09/01 22:19:02.0312 2204 kbdhid (94c59cb884ba010c063687c3a50dce8e) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
    2011/09/01 22:19:03.0203 2204 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
    2011/09/01 22:19:04.0140 2204 KSecDD (c6ebf1d6ad71df30db49b8d3287e1368) C:\WINDOWS\system32\drivers\KSecDD.sys
    2011/09/01 22:19:06.0062 2204 massfilter (f0435fe3c1ec2659d2bbf073ca0752ee) C:\WINDOWS\system32\drivers\massfilter.sys
    2011/09/01 22:19:06.0937 2204 MBAMSwissArmy (d68e165c3123aba3b1282eddb4213bd8) C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2011/09/01 22:19:07.0812 2204 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
    2011/09/01 22:19:08.0765 2204 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
    2011/09/01 22:19:09.0656 2204 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
    2011/09/01 22:19:10.0750 2204 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
    2011/09/01 22:19:12.0484 2204 MRxSmb (5e28f482a9cb697f794b23aeb6897db8) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
    2011/09/01 22:19:12.0515 2204 MRxSmb - detected Rootkit.Win32.ZAccess.c (0)
    2011/09/01 22:19:13.0609 2204 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
    2011/09/01 22:19:14.0468 2204 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
    2011/09/01 22:19:15.0312 2204 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
    2011/09/01 22:19:16.0343 2204 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
    2011/09/01 22:19:17.0218 2204 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
    2011/09/01 22:19:18.0078 2204 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
    2011/09/01 22:19:18.0937 2204 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
    2011/09/01 22:19:19.0984 2204 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
    2011/09/01 22:19:20.0890 2204 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
    2011/09/01 22:19:21.0890 2204 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
    2011/09/01 22:19:22.0718 2204 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
    2011/09/01 22:19:23.0625 2204 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
    2011/09/01 22:19:24.0531 2204 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
    2011/09/01 22:19:25.0640 2204 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
    2011/09/01 22:19:26.0500 2204 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
    2011/09/01 22:19:27.0375 2204 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
    2011/09/01 22:19:28.0796 2204 NETwLx32 (72062b53186e4a3f5fcbc41ebb62b905) C:\WINDOWS\system32\DRIVERS\NETwLx32.sys
    2011/09/01 22:19:29.0828 2204 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
    2011/09/01 22:19:31.0015 2204 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
    2011/09/01 22:19:31.0921 2204 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
    2011/09/01 22:19:32.0968 2204 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
    2011/09/01 22:19:34.0625 2204 nv (18c9b152da7bea76b2f9e4b6412e0aaf) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
    2011/09/01 22:19:36.0109 2204 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
    2011/09/01 22:19:36.0984 2204 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
    2011/09/01 22:19:37.0953 2204 ohci1394 (23f68c5580883a7640bf961704aa10a0) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
    2011/09/01 22:19:38.0937 2204 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\drivers\Parport.sys
    2011/09/01 22:19:39.0812 2204 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
    2011/09/01 22:19:40.0718 2204 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
    2011/09/01 22:19:41.0734 2204 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
    2011/09/01 22:19:43.0625 2204 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
    2011/09/01 22:19:44.0781 2204 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
    2011/09/01 22:19:50.0953 2204 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
    2011/09/01 22:19:51.0812 2204 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
    2011/09/01 22:19:53.0093 2204 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
    2011/09/01 22:19:58.0281 2204 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
    2011/09/01 22:19:59.0203 2204 Rasirda (0207d26ddf796a193ccd9f83047bb5fc) C:\WINDOWS\system32\DRIVERS\rasirda.sys
    2011/09/01 22:20:00.0281 2204 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
    2011/09/01 22:20:01.0156 2204 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
    2011/09/01 22:20:02.0015 2204 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
    2011/09/01 22:20:02.0968 2204 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
    2011/09/01 22:20:03.0828 2204 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
    2011/09/01 22:20:04.0953 2204 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
    2011/09/01 22:20:05.0890 2204 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
    2011/09/01 22:20:06.0765 2204 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
    2011/09/01 22:20:07.0843 2204 RFCOMM (851c30df2807fcfa21e4c681a7d6440e) C:\WINDOWS\system32\DRIVERS\rfcomm.sys
    2011/09/01 22:20:08.0734 2204 rimmptsk (c35ca13d3627ebd9dd12a23ce781bc3d) C:\WINDOWS\system32\DRIVERS\rimmptsk.sys
    2011/09/01 22:20:09.0593 2204 rimsptsk (c398bca91216755b098679a8da8a2300) C:\WINDOWS\system32\DRIVERS\rimsptsk.sys
    2011/09/01 22:20:10.0421 2204 risdptsk (24bf1c15488c3a7caa39b11e0ddfcb27) C:\WINDOWS\system32\DRIVERS\risdptsk.sys
    2011/09/01 22:20:11.0546 2204 rismxdp (2a2554cb24506e0a0508fc395c4a1b42) C:\WINDOWS\system32\DRIVERS\rixdptsk.sys
    2011/09/01 22:20:12.0437 2204 RTLE8023xp (75a0fb48efaac5d8dcd68e15cba76691) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
    2011/09/01 22:20:14.0421 2204 s24trans (27fc71da659305e260acbda15a318399) C:\WINDOWS\system32\DRIVERS\s24trans.sys
    2011/09/01 22:20:15.0296 2204 sdbus (8d04819a3ce51b9eb47e5689b44d43c4) C:\WINDOWS\system32\DRIVERS\sdbus.sys
    2011/09/01 22:20:16.0140 2204 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
    2011/09/01 22:20:17.0125 2204 Serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
    2011/09/01 22:20:18.0000 2204 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\drivers\Serial.sys
    2011/09/01 22:20:18.0921 2204 sfdrv01 (4c0d673281178cb496011a2e28571fc8) C:\WINDOWS\system32\drivers\sfdrv01.sys
    2011/09/01 22:20:19.0890 2204 sffdisk (0fa803c64df0914b41f807ea276bf2a6) C:\WINDOWS\system32\DRIVERS\sffdisk.sys
    2011/09/01 22:20:20.0906 2204 sffp_sd (c17c331e435ed8737525c86a7557b3ac) C:\WINDOWS\system32\DRIVERS\sffp_sd.sys
    2011/09/01 22:20:21.0750 2204 sfhlp02 (15be2b5e4dc5b8623cf167720682abc9) C:\WINDOWS\system32\drivers\sfhlp02.sys
    2011/09/01 22:20:22.0703 2204 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
    2011/09/01 22:20:23.0578 2204 sfvfs02 (d5a7e09d2c6a702809e49190d52adc9f) C:\WINDOWS\system32\drivers\sfvfs02.sys
    2011/09/01 22:20:24.0484 2204 Si3112 (8df166baa3301fae21db647ba88b1fdf) C:\WINDOWS\system32\drivers\Si3112.sys
    2011/09/01 22:20:25.0375 2204 Si3114r5 (35224aed22632a3c58fa4a93fa43b5b7) C:\WINDOWS\system32\drivers\Si3114r5.sys
    2011/09/01 22:20:26.0343 2204 Si3124 (505c167be0bc7173c9095ca9b7b346d9) C:\WINDOWS\system32\drivers\Si3124.sys
    2011/09/01 22:20:27.0250 2204 Si3132 (4cdaf939df995b0eefd91e069bfda30d) C:\WINDOWS\system32\drivers\Si3132.sys
    2011/09/01 22:20:28.0265 2204 Si3132r5 (917467d08343eeabe486ffc03622d548) C:\WINDOWS\system32\drivers\Si3132r5.sys
    2011/09/01 22:20:29.0187 2204 Si3531 (7471cf7cbb4cc7d92fdb7f6527a9008c) C:\WINDOWS\system32\drivers\Si3531.sys
    2011/09/01 22:20:31.0062 2204 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
    2011/09/01 22:20:32.0109 2204 smserial (63b3b77bdb67ee674771c0e6fb96da9e) C:\WINDOWS\system32\DRIVERS\smserial.sys
    2011/09/01 22:20:33.0796 2204 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
    2011/09/01 22:20:34.0875 2204 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
    2011/09/01 22:20:35.0734 2204 Srv (e89b42b216bc86ada4345908284519cb) C:\WINDOWS\system32\DRIVERS\srv.sys
    2011/09/01 22:20:36.0593 2204 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
    2011/09/01 22:20:37.0515 2204 StarOpen (e57b778208c783d8debab320c16a1b82) C:\WINDOWS\system32\drivers\StarOpen.sys
    2011/09/01 22:20:38.0375 2204 STIrUsb (a1a16662c6b1a665d965d61b9eecc5a7) C:\WINDOWS\system32\DRIVERS\irstusb.sys
    2011/09/01 22:20:39.0281 2204 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
    2011/09/01 22:20:40.0453 2204 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
    2011/09/01 22:20:41.0484 2204 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
    2011/09/01 22:20:46.0062 2204 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
    2011/09/01 22:20:47.0187 2204 Tcpip (e88631e21a9caca06104802f9e915115) C:\WINDOWS\system32\DRIVERS\tcpip.sys
    2011/09/01 22:20:48.0156 2204 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
    2011/09/01 22:20:49.0140 2204 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
    2011/09/01 22:20:50.0062 2204 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
    2011/09/01 22:20:51.0906 2204 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
    2011/09/01 22:20:54.0765 2204 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
    2011/09/01 22:20:55.0703 2204 USBAAPL (d4fb6ecc60a428564ba8768b0e23c0fc) C:\WINDOWS\system32\Drivers\usbaapl.sys
    2011/09/01 22:20:56.0734 2204 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
    2011/09/01 22:20:57.0546 2204 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
    2011/09/01 22:20:58.0406 2204 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
    2011/09/01 22:20:59.0406 2204 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
    2011/09/01 22:21:00.0375 2204 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
    2011/09/01 22:21:01.0328 2204 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
    2011/09/01 22:21:02.0312 2204 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
    2011/09/01 22:21:03.0375 2204 usbvideo (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
    2011/09/01 22:21:04.0234 2204 VCommUSB (b6d792be5f3eb7680f5bfcc2e679832e) C:\WINDOWS\system32\Drivers\VCommUSB.sys
    2011/09/01 22:21:05.0218 2204 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
    2011/09/01 22:21:07.0078 2204 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
    2011/09/01 22:21:08.0000 2204 Wdf01000 (fd47474bd21794508af449d9d91af6e6) C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
    2011/09/01 22:21:09.0843 2204 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
    2011/09/01 22:21:10.0734 2204 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
    2011/09/01 22:21:11.0609 2204 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
    2011/09/01 22:21:12.0640 2204 ZTEusbmdm6k (b8b466103280e45e391e876f05122607) C:\WINDOWS\system32\DRIVERS\ZTEusbmdm6k.sys
    2011/09/01 22:21:13.0640 2204 ZTEusbnet (911ba85906bc7602c73441502abfb565) C:\WINDOWS\system32\DRIVERS\ZTEusbnet.sys
    2011/09/01 22:21:14.0515 2204 ZTEusbnmea (69774b89725ddc4781e0eeb9809f3b20) C:\WINDOWS\system32\DRIVERS\ZTEusbnmea.sys
    2011/09/01 22:21:15.0359 2204 ZTEusbser6k (b8b466103280e45e391e876f05122607) C:\WINDOWS\system32\DRIVERS\ZTEusbser6k.sys
    2011/09/01 22:21:16.0328 2204 ZTEusbvoice (b8b466103280e45e391e876f05122607) C:\WINDOWS\system32\DRIVERS\ZTEusbvoice.sys
    2011/09/01 22:21:16.0406 2204 MBR (0x1B8) (c99c3199cfaa4cbdcd91493f6d113a50) \Device\Harddisk0\DR0
    2011/09/01 22:21:16.0671 2204 MBR (0x1B8) (5fb38429d5d77768867c76dcbdb35194) \Device\Harddisk1\DR7
    2011/09/01 22:21:16.0734 2204 Boot (0x1200) (f8b1a729c57f6c0201858eb59f28d05c) \Device\Harddisk0\DR0\Partition0
    2011/09/01 22:21:16.0750 2204 Boot (0x1200) (da1c19204ecf8dbb21e45e6fd513d0fa) \Device\Harddisk0\DR0\Partition1
    2011/09/01 22:21:16.0781 2204 Boot (0x1200) (235210164a96be185f819af811ef62d3) \Device\Harddisk1\DR7\Partition0
    2011/09/01 22:21:16.0796 2204 ================================================================================
    2011/09/01 22:21:16.0796 2204 Scan finished
    2011/09/01 22:21:16.0796 2204 ================================================================================
    2011/09/01 22:21:16.0812 3868 Detected object count: 2
    2011/09/01 22:21:16.0812 3868 Actual detected object count: 2
    2011/09/01 22:21:25.0968 3868 HiddenFile.Multi.Generic(882d1892) - User select action: Skip
    2011/09/01 22:21:26.0953 3868 MRxSmb (5e28f482a9cb697f794b23aeb6897db8) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
    2011/09/01 22:21:26.0968 3868 VerifyFileNameVersionInfo: GetFileVersionInfoSizeW(C:\WINDOWS\system32\drivers\mrxsmb.sys) error 1813
    2011/09/01 22:21:27.0125 3868 Backup copy not found, trying to cure infected file..
    2011/09/01 22:21:27.0171 3868 Cure success, using it..
    2011/09/01 22:21:27.0250 3868 C:\WINDOWS\system32\DRIVERS\mrxsmb.sys - will be cured after reboot
    2011/09/01 22:21:27.0250 3868 Rootkit.Win32.ZAccess.c(MRxSmb) - User select action: Cure
    2011/09/01 22:21:36.0484 3068 Deinitialize success
    0
  14. Utilisateur anonyme
     
    bonjour,
    super,

    est ce que tu as redemarré le pc ?

    sinon, il faut le faire :D

    on va attaquer avec un traitement lourd !!!

    * /!\Avertissement :
    Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
    Ne pas utiliser en dehors de ce cas de figure : dangereux!


    ► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
    https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
    ou ici :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    A lire
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :

    ► ferme les fenêtres de tous les programmes en cours.

    ► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.


    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt)
    ► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
    ► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  15. medha38 Messages postés 269 Statut Membre 18
     
    ComboFix 11-09-01.03 - Administrateur 02/09/2011 11:04:23.1.2 - x86
    Microsoft Windows XP Professionnel [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\Bibitte.exe
    * Un nouveau point de restauration a été créé
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\docume~1\ADMINI~1\MESDOC~1\TLCHAR~1\LES_fo~1.exe
    c:\documents and settings\Administrateur\Application Data\11B2.EF2
    c:\documents and settings\Administrateur\Step1.exe
    c:\documents and settings\Administrateur\WINDOWS
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Avira\AntiVir Desktop\sched.exe
    c:\windows\$NtUninstallKB28480$
    c:\windows\$NtUninstallKB28480$\2164416085
    c:\windows\$NtUninstallKB28480$\2284656786\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
    c:\windows\$NtUninstallKB28480$\2284656786\click.tlb
    c:\windows\$NtUninstallKB28480$\2284656786\L\pammovxb
    c:\windows\$NtUninstallKB28480$\2284656786\loader.tlb
    c:\windows\$NtUninstallKB28480$\2284656786\U\@00000001
    c:\windows\$NtUninstallKB28480$\2284656786\U\@000000c0
    c:\windows\$NtUninstallKB28480$\2284656786\U\@000000cb
    c:\windows\$NtUninstallKB28480$\2284656786\U\@000000cf
    c:\windows\$NtUninstallKB28480$\2284656786\U\@80000000
    c:\windows\$NtUninstallKB28480$\2284656786\U\@800000c0
    c:\windows\$NtUninstallKB28480$\2284656786\U\@800000cb
    c:\windows\$NtUninstallKB28480$\2284656786\U\@800000cf
    c:\windows\system32\aacadec.dll
    c:\windows\system32\c_18005.nls
    c:\windows\winlogon.exe
    .
    .
    .
    Une copie infectée de c:\windows\system32\drivers\redbook.sys a été trouvée et désinfectée
    Copie restaurée à partir de - The cat found it :)
    c:\windows\system32\proquota.exe . . . manque!!
    .
    Une copie infectée de c:\program files\Avira\AntiVir Desktop\sched.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\system volume information\_restore{DC488B90-A0C6-4B35-9D0E-95092DCAD1FC}\RP115\A0144153.exe
    .
    Une copie infectée de c:\program files\Avira\AntiVir Desktop\avguard.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\system volume information\_restore{DC488B90-A0C6-4B35-9D0E-95092DCAD1FC}\RP115\A0144383.exe
    .
    Une copie infectée de c:\program files\iPod\bin\iPodService.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\system volume information\_restore{DC488B90-A0C6-4B35-9D0E-95092DCAD1FC}\RP115\A0144142.exe
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    -------\Service_882d1892
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-08-02 au 2011-09-02 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-09-02 08:50 . 2008-04-13 14:57 58752 ----a-w- c:\windows\system32\drivers\redbook.sys
    2011-09-01 20:48 . 2011-09-01 21:02 43408 --sha-w- c:\windows\system32\c_18005.nl_
    2011-08-31 19:44 . 2001-08-17 17:51 19584 ----a-w- c:\windows\system32\drivers\rasirda.sys
    2011-08-31 19:44 . 2008-04-13 07:54 88192 ----a-w- c:\windows\system32\drivers\irda.sys
    2011-08-31 19:43 . 2001-08-17 17:49 26624 ----a-w- c:\windows\system32\drivers\irstusb.sys
    2011-08-30 08:54 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2011-08-30 08:54 . 2011-09-01 20:37 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2011-08-30 08:54 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-08-29 20:24 . 2011-08-29 20:24 -------- d--h--w- c:\windows\PIF
    2011-08-27 16:58 . 2011-08-27 16:58 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Avira
    2011-08-27 16:45 . 2011-07-20 09:33 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2011-08-27 16:45 . 2011-07-20 09:33 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2011-08-27 16:45 . 2010-06-17 13:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2011-08-27 16:45 . 2010-06-17 13:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2011-08-27 16:45 . 2011-08-27 16:45 -------- d-----w- c:\program files\Avira
    2011-08-27 16:45 . 2011-08-27 16:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    2011-08-26 17:18 . 2011-08-28 21:34 -------- d-----w- c:\program files\TrackMania Nations ESWC
    2011-08-06 18:59 . 2011-08-06 18:59 -------- d-----w- c:\documents and settings\Administrateur\Application Data\OpenOffice.org
    2011-08-06 18:57 . 2011-08-06 18:57 -------- d-----w- c:\program files\OpenOffice.org 3
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-09-01 21:02 . 2009-10-23 19:00 138496 ----a-w- c:\windows\system32\drivers\afd.sys
    2011-09-01 20:24 . 2009-10-23 19:00 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2011-08-12 06:19 . 2011-03-30 17:34 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
    .
    .
    ------- Sigcheck -------
    Note: Unsigned files aren't necessarily malware.
    .
    .
    [-] 2009-10-23 . E88631E21A9CACA06104802F9E915115 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
    .
    .
    [-] 2009-10-23 . C3AF0EEE26B59484E674673E3016AAB7 . 1056768 . . [5.1.2600.5781] . . c:\windows\system32\kernel32.dll
    .
    [-] 2009-10-23 . BEE6ADE296912A058D88C51ABC458515 . 579584 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
    .
    [-] 2009-10-23 . 0E27A305F86583A1F5B61F3C7DDCC5A2 . 1859584 . . [6.00.2900.5634] . . c:\windows\explorer.exe
    .
    [-] 2009-10-23 . D2BD6E5AA98850DC118065A83A9C6E85 . 302592 . . [5.1.2600.5512] . . c:\windows\regedit.exe
    [-] 2009-10-23 . D2BD6E5AA98850DC118065A83A9C6E85 . 302592 . . [5.1.2600.5512] . . c:\windows\i386\REGEDIT.EXE
    .
    .
    [-] 2009-10-23 . A9658459BB4F4EE00FA117C9382C0D3A . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
    .
    .
    .
    [-] 2009-10-23 . A8300000232F40CC3E38885144BDECDD . 2519552 . . [5.1.2600.5755] . . c:\windows\system32\ntkrnlpa.exe
    .
    [-] 2009-10-23 . 6D290615A78C60746F4E25B2102573AF . 2640896 . . [5.1.2600.5755] . . c:\windows\system32\ntoskrnl.exe
    .
    c:\windows\System32\drivers\beep.sys ... manque !!
    c:\windows\System32\wuauclt.exe ... manque !!
    c:\windows\System32\wscntfy.exe ... manque !!
    c:\windows\System32\regsvc.dll ... manque !!
    c:\windows\System32\schedsvc.dll ... manque !!
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-07-27 1644784]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Vistadrv"="c:\windows\system32\vsdrv\vsdrv.exe" [2006-07-30 121089]
    "IntelZeroConfig"="c:\program files\Intel\WiFi\bin\ZCfgSvc.exe" [2010-10-19 1400832]
    "IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2010-10-19 1206544]
    "QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-08-01 202032]
    "RTHDCPL"="RTHDCPL.EXE" [2009-10-11 18082304]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-01-07 13880424]
    "nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "WIAWizardMenu"="c:\windows\system32\sti_ci.dll" [2009-10-23 138240]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-07-27 1644784]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "ShowDeskFix"="shell32" [X]
    "_nltide_3"="advpack.dll" [2009-10-23 128512]
    .
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMConfigurePrograms"= 1 (0x1)
    .
    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMHelp"= 1 (0x1)
    "NoSMConfigurePrograms"= 1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
    "NoAutoUpdate"= 1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Air Mouse.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Air Mouse.lnk
    backup=c:\windows\pss\Air Mouse.lnkCommon Startup
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PalTalk.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\PalTalk.lnk
    backup=c:\windows\pss\PalTalk.lnkCommon Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PPDiag Client Service]
    c:\app\ppdiag\ppd start [X]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
    2011-04-20 10:48 58656 ----a-w- c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
    2008-04-13 15:34 110592 ----a-w- c:\windows\system32\bthprops.cpl
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    2011-01-20 09:20 1305408 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
    2010-06-09 18:55 49208 ----a-w- c:\program files\HP\HP Software Update\hpwuschd2.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2011-04-26 23:22 421160 ----a-w- c:\program files\iTunes\iTunesHelper.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KPeerNexonEU]
    2011-02-04 16:56 438272 ----a-w- c:\nexon\NEXON_EU_Downloader\nxEULauncher.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\psastart]
    2010-03-08 02:51 40960 ------w- c:\app\ddc\bin\psastart.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2010-11-29 16:38 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
    2007-01-10 20:59 1235456 ----a-w- c:\program files\Windows Sidebar\sidebar.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
    2007-01-16 21:34 634880 ----a-w- c:\program files\Motorola\SMSERIAL\sm56hlpr.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    2011-04-10 19:26 273544 ----a-w- c:\program files\Real\RealPlayer\Update\realsched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesOverride"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2536309916-560122738-865605030-500]
    "EnableNotificationsRef"=dword:00000001
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "c:\\Program Files\\UltraVNC\\vncviewer.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\nexon\Combat Arms EU\CombatArms.exe"= c:\nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe
    "c:\nexon\Combat Arms EU\Engine.exe"= c:\nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe
    "c:\\Documents and Settings\\All Users\\Application Data\\NexonEU\\NGM\\NGM.exe"=
    "c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"=
    "c:\\Program Files\\Paltalk Messenger\\paltalk.exe"=
    "c:\\APP\\PPS\\mozilla.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Nexon\\Combat Arms EU\\NMService.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "c:\\Program Files\\Real\\RealUpgrade\\realupgrade.exe"=
    "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
    "c:\\Documents and Settings\\Administrateur\\Application Data\\Real\\Update\\UpgradeHelper\\RealPlayer\\8.00\\rnupgagent.exe"=
    "c:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"=
    "c:\\Program Files\\Avira\\AntiVir Desktop\\avnotify.exe"=
    "c:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWCLauncher.exe"=
    .
    R0 Si3124;Si3124;c:\windows\system32\drivers\si3124.sys [23/10/2009 21:00 76208]
    R0 Si3531;Si3531;c:\windows\system32\drivers\Si3531.sys [23/10/2009 21:00 210224]
    R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [02/02/2011 18:36 218688]
    R1 GhPciScan;GhostPciScanner;c:\program files\Symantec\Norton Ghost 2003\GhPciScan.sys [28/05/2003 20:01 5632]
    R3 NETwLx32; Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows XP 32 bits ;c:\windows\system32\drivers\NETwLx32.sys [02/02/2011 18:12 6609920]
    S0 47643314;47643314;c:\windows\system32\drivers\45735651.sys --> c:\windows\system32\drivers\45735651.sys [?]
    S0 rxsqew;rxsqew;c:\windows\system32\drivers\yekcr.sys --> c:\windows\system32\drivers\yekcr.sys [?]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;"c:\program files\Avira\AntiVir Desktop\sched.exe" --> c:\program files\Avira\AntiVir Desktop\sched.exe [?]
    S2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\app\FIREBIRD\bin\fbguard.exe -s --> c:\app\FIREBIRD\bin\fbguard.exe -s [?]
    S3 Com4QLBEx;Com4QLBEx;"c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe" --> c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [?]
    S3 EagleXNt;EagleXNt;\??\c:\windows\system32\drivers\EagleXNt.sys --> c:\windows\system32\drivers\EagleXNt.sys [?]
    S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\app\FIREBIRD\bin\fbserver.exe -s --> c:\app\FIREBIRD\bin\fbserver.exe -s [?]
    S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [10/04/2011 18:33 7680]
    S3 VCommUSB;Service for ACTIA USB Devices;c:\windows\system32\drivers\VCommUSB.sys [02/02/2011 18:45 40576]
    S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [10/04/2011 18:33 110080]
    S3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\drivers\ZTEusbvoice.sys [10/04/2011 18:33 104960]
    .
    [COLOR=RED]NETSVCS DOIT ÊTRE RÉPARÉ - liste des éléments présents/COLOR
    6to4
    AppMgmt
    AudioSrv
    Browser
    CryptSvc
    DMServer
    DHCP
    EventSystem
    FastUserSwitchingCompatibility
    HidServ
    Ias
    Iprip
    Irmon
    LanmanServer
    LanmanWorkstation
    Netman
    Nla
    NWCWorkstation
    Nwsapagent
    Rasauto
    Rasman
    Remoteaccess
    SENS
    Sharedaccess
    SRService
    Tapisrv
    Themes
    TrkWks
    WZCSVC
    Wmi
    WmdmPmSp
    winmgmt
    xmlprov
    napagent
    hkmsvc
    BITS
    ShellHWDetection
    WmdmPmSN
    .
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    .
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://fr.ask.com?o=15204&l=dis
    mStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyOverride = *.local
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izx61amm.default\
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
    FF - prefs.js: network.proxy.http_port - 58808
    FF - prefs.js: network.proxy.type - 0
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Toolbar-ITBar7Layout - (no file)
    Toolbar-ITBar7Position - (no file)
    WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    HKU-Default-RunOnce-MPlayer2_FixUp - c:\windows\inf\unregmp2.exe
    SafeBoot-47643314.sys
    SafeBoot-70801285.sys
    MSConfigStartUp-ediagStart - c:\app\ediag\eDiagStart.lnk
    MSConfigStartUp-SIM - c:\app\SIM\SIMBat.lnk
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-09-02 11:39
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MRxSmb]
    "ImagePath"="system32\drivers\tsk5.tmp"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_USERS\S-1-5-21-746137067-2049760794-1644491937-500\Software\Microsoft\Internet Explorer\User Preferences]
    @Denied: (2) (Administrator)
    "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5f,db,f8,f0,f9,19,b7,49,b5,cf,74,\
    "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5f,db,f8,f0,f9,19,b7,49,b5,cf,74,\
    "6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5f,db,f8,f0,f9,19,b7,49,b5,cf,74,\
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    .
    - - - - - - - > 'winlogon.exe'(1564)
    c:\windows\system32\SETUPAPI.dll
    .
    - - - - - - - > 'lsass.exe'(2004)
    c:\windows\system32\setupapi.dll
    .
    - - - - - - - > 'explorer.exe'(2828)
    c:\windows\system32\webcheck.dll
    c:\windows\system32\msls31.dll
    c:\windows\system32\SETUPAPI.dll
    c:\windows\system32\netshell.dll
    c:\windows\system32\credui.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\msi.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    c:\program files\WIBU-SYSTEMS\System\WibuShellExt.dll
    c:\program files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
    c:\windows\system32\nvcpl.dll
    c:\windows\system32\NVRSFR.DLL
    c:\windows\system32\nvapi.dll
    c:\program files\NVIDIA Corporation\nView\nvshell.dll
    c:\windows\system32\netprovcredman.dll
    c:\windows\system32\cscdll.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\RTHDCPL.EXE
    c:\windows\system32\wbem\unsecapp.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-09-02 11:43:32 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-09-02 09:43
    .
    Avant-CF: 108 283 854 848 octets libres
    Après-CF: 108 262 440 960 octets libres
    .
    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
    .
    - - End Of File - - 01796D853B10EC4DCD8A27ABD4377ECB
    0
  16. Utilisateur anonyme
     
    ok,
    la plupart des fichiers infectés ont été restaurés :D

    c:\windows\system32\proquota.exe . . . manque!!

    télécharge et enregistre le sur ton bureau :

    http://ww38.toofiles.com/fr/oip/documents/exe/proquota.html

    fais un couper/coller du fichier dans ce répertoire :

    c:\windows\system32

    redemarre le pc, puis relance Combofix, poste son rapport :D

    0
  17. medha38 Messages postés 269 Statut Membre 18
     
    ComboFix 11-09-02.02 - Administrateur 02/09/2011 20:31:13.2.2 - x86
    Microsoft Windows XP Professionnel [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\Bibitte.exe
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\documents and settings\Administrateur\AUTORUN.INF
    c:\windows\system32\msconfig.exe
    .
    c:\windows\system32\Drivers\Volsnap.sys . . . est infecté!!
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-08-02 au 2011-09-02 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-09-02 18:17 . 2011-09-02 18:16 50688 -c--a-w- c:\windows\system32\dllcache\proquota.exe
    2011-09-02 18:17 . 2011-09-02 18:16 50688 ----a-w- c:\windows\system32\proquota.exe
    2011-09-02 10:09 . 2011-07-21 10:22 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2011-09-02 10:09 . 2011-07-21 10:22 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2011-09-02 10:09 . 2010-06-17 13:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2011-09-02 10:09 . 2010-06-17 13:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2011-09-02 10:09 . 2011-09-02 10:09 -------- d-----w- c:\program files\Avira
    2011-09-02 10:09 . 2011-09-02 10:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    2011-09-02 08:50 . 2008-04-13 14:57 58752 ----a-w- c:\windows\system32\drivers\redbook.sys
    2011-08-31 19:44 . 2001-08-17 17:51 19584 ----a-w- c:\windows\system32\drivers\rasirda.sys
    2011-08-31 19:44 . 2008-04-13 07:54 88192 ----a-w- c:\windows\system32\drivers\irda.sys
    2011-08-31 19:43 . 2001-08-17 17:49 26624 ----a-w- c:\windows\system32\drivers\irstusb.sys
    2011-08-30 08:54 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2011-08-30 08:54 . 2011-09-01 20:37 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2011-08-30 08:54 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-08-29 20:24 . 2011-08-29 20:24 -------- d--h--w- c:\windows\PIF
    2011-08-26 17:18 . 2011-08-28 21:34 -------- d-----w- c:\program files\TrackMania Nations ESWC
    2011-08-06 18:59 . 2011-08-06 18:59 -------- d-----w- c:\documents and settings\Administrateur\Application Data\OpenOffice.org
    2011-08-06 18:57 . 2011-08-06 18:57 -------- d-----w- c:\program files\OpenOffice.org 3
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-09-01 21:02 . 2009-10-23 19:00 138496 ----a-w- c:\windows\system32\drivers\afd.sys
    2011-09-01 20:24 . 2009-10-23 19:00 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2011-08-12 06:19 . 2011-03-30 17:34 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
    .
    .
    ------- Sigcheck -------
    Note: Unsigned files aren't necessarily malware.
    .
    [-] 2009-10-23 . E88631E21A9CACA06104802F9E915115 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
    .
    [-] 2009-10-23 . C3AF0EEE26B59484E674673E3016AAB7 . 1056768 . . [5.1.2600.5781] . . c:\windows\system32\kernel32.dll
    .
    [-] 2009-10-23 . BEE6ADE296912A058D88C51ABC458515 . 579584 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
    .
    [-] 2009-10-23 . 0E27A305F86583A1F5B61F3C7DDCC5A2 . 1859584 . . [6.00.2900.5634] . . c:\windows\explorer.exe
    .
    [-] 2009-10-23 . D2BD6E5AA98850DC118065A83A9C6E85 . 302592 . . [5.1.2600.5512] . . c:\windows\regedit.exe
    [-] 2009-10-23 . D2BD6E5AA98850DC118065A83A9C6E85 . 302592 . . [5.1.2600.5512] . . c:\windows\i386\REGEDIT.EXE
    .
    [-] 2009-10-23 . A9658459BB4F4EE00FA117C9382C0D3A . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
    .
    [-] 2009-10-23 . A8300000232F40CC3E38885144BDECDD . 2519552 . . [5.1.2600.5755] . . c:\windows\system32\ntkrnlpa.exe
    .
    [-] 2009-10-23 . 6D290615A78C60746F4E25B2102573AF . 2640896 . . [5.1.2600.5755] . . c:\windows\system32\ntoskrnl.exe
    .
    ((((((((((((((((((((((((((((( SnapShot@2011-09-02_09.39.52 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2011-09-02 10:09 . 2010-06-17 13:28 28520 c:\windows\system32\drivers\ssmdrv.sys
    - 2011-08-27 16:45 . 2010-06-17 13:28 28520 c:\windows\system32\drivers\ssmdrv.sys
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-07-27 1644784]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Vistadrv"="c:\windows\system32\vsdrv\vsdrv.exe" [2006-07-30 121089]
    "IntelZeroConfig"="c:\program files\Intel\WiFi\bin\ZCfgSvc.exe" [2010-10-19 1400832]
    "IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2010-10-19 1206544]
    "QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-08-01 202032]
    "RTHDCPL"="RTHDCPL.EXE" [2009-10-11 18082304]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-01-07 13880424]
    "nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "WIAWizardMenu"="c:\windows\system32\sti_ci.dll" [2009-10-23 138240]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-07-27 1644784]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "ShowDeskFix"="shell32" [X]
    "_nltide_3"="advpack.dll" [2009-10-23 128512]
    .
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMConfigurePrograms"= 1 (0x1)
    .
    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMHelp"= 1 (0x1)
    "NoSMConfigurePrograms"= 1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
    "NoAutoUpdate"= 1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Air Mouse.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Air Mouse.lnk
    backup=c:\windows\pss\Air Mouse.lnkCommon Startup
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PalTalk.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\PalTalk.lnk
    backup=c:\windows\pss\PalTalk.lnkCommon Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PPDiag Client Service]
    c:\app\ppdiag\ppd start [X]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
    2011-04-20 10:48 58656 ----a-w- c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
    2008-04-13 15:34 110592 ----a-w- c:\windows\system32\bthprops.cpl
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    2011-01-20 09:20 1305408 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
    2010-06-09 18:55 49208 ----a-w- c:\program files\HP\HP Software Update\hpwuschd2.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2011-04-26 23:22 421160 ----a-w- c:\program files\iTunes\iTunesHelper.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KPeerNexonEU]
    2011-02-04 16:56 438272 ----a-w- c:\nexon\NEXON_EU_Downloader\nxEULauncher.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\psastart]
    2010-03-08 02:51 40960 ------w- c:\app\ddc\bin\psastart.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2010-11-29 16:38 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
    2007-01-10 20:59 1235456 ----a-w- c:\program files\Windows Sidebar\sidebar.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
    2007-01-16 21:34 634880 ----a-w- c:\program files\Motorola\SMSERIAL\sm56hlpr.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    2011-04-10 19:26 273544 ----a-w- c:\program files\Real\RealPlayer\Update\realsched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesOverride"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2536309916-560122738-865605030-500]
    "EnableNotificationsRef"=dword:00000001
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "c:\\Program Files\\UltraVNC\\vncviewer.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\nexon\Combat Arms EU\CombatArms.exe"= c:\nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe
    "c:\nexon\Combat Arms EU\Engine.exe"= c:\nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe
    "c:\\Documents and Settings\\All Users\\Application Data\\NexonEU\\NGM\\NGM.exe"=
    "c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"=
    "c:\\Program Files\\Paltalk Messenger\\paltalk.exe"=
    "c:\\APP\\PPS\\mozilla.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Nexon\\Combat Arms EU\\NMService.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "c:\\Program Files\\Real\\RealUpgrade\\realupgrade.exe"=
    "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
    "c:\\Documents and Settings\\Administrateur\\Application Data\\Real\\Update\\UpgradeHelper\\RealPlayer\\8.00\\rnupgagent.exe"=
    "c:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"=
    "c:\\Program Files\\Avira\\AntiVir Desktop\\avnotify.exe"=
    "c:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWCLauncher.exe"=
    .
    R0 Si3124;Si3124;c:\windows\system32\drivers\si3124.sys [23/10/2009 21:00 76208]
    R0 Si3531;Si3531;c:\windows\system32\drivers\Si3531.sys [23/10/2009 21:00 210224]
    R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [02/02/2011 18:36 218688]
    R1 GhPciScan;GhostPciScanner;c:\program files\Symantec\Norton Ghost 2003\GhPciScan.sys [28/05/2003 20:01 5632]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/09/2011 12:09 136360]
    R3 NETwLx32; Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows XP 32 bits ;c:\windows\system32\drivers\NETwLx32.sys [02/02/2011 18:12 6609920]
    S0 47643314;47643314;c:\windows\system32\drivers\45735651.sys --> c:\windows\system32\drivers\45735651.sys [?]
    S0 rxsqew;rxsqew;c:\windows\system32\drivers\yekcr.sys --> c:\windows\system32\drivers\yekcr.sys [?]
    S2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\app\FIREBIRD\bin\fbguard.exe -s --> c:\app\FIREBIRD\bin\fbguard.exe -s [?]
    S3 Com4QLBEx;Com4QLBEx;"c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe" --> c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [?]
    S3 EagleXNt;EagleXNt;\??\c:\windows\system32\drivers\EagleXNt.sys --> c:\windows\system32\drivers\EagleXNt.sys [?]
    S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\app\FIREBIRD\bin\fbserver.exe -s --> c:\app\FIREBIRD\bin\fbserver.exe -s [?]
    S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [10/04/2011 18:33 7680]
    S3 VCommUSB;Service for ACTIA USB Devices;c:\windows\system32\drivers\VCommUSB.sys [02/02/2011 18:45 40576]
    S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [10/04/2011 18:33 110080]
    S3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\drivers\ZTEusbvoice.sys [10/04/2011 18:33 104960]
    .
    --- Autres Services/Pilotes en mémoire ---
    .
    *NewlyCreated* - SSMDRV
    .
    [COLOR=RED]NETSVCS DOIT ÊTRE RÉPARÉ - liste des éléments présents/COLOR
    6to4
    AppMgmt
    AudioSrv
    Browser
    CryptSvc
    DMServer
    DHCP
    EventSystem
    FastUserSwitchingCompatibility
    HidServ
    Ias
    Iprip
    Irmon
    LanmanServer
    LanmanWorkstation
    Netman
    Nla
    NWCWorkstation
    Nwsapagent
    Rasauto
    Rasman
    Remoteaccess
    SENS
    Sharedaccess
    SRService
    Tapisrv
    Themes
    TrkWks
    WZCSVC
    Wmi
    WmdmPmSp
    winmgmt
    xmlprov
    napagent
    hkmsvc
    BITS
    ShellHWDetection
    WmdmPmSN
    .
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    .
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://fr.ask.com?o=15204&l=dis
    mStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyOverride = *.local
    TCP: DhcpNameServer = 192.168.1.254
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izx61amm.default\
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
    FF - prefs.js: network.proxy.http_port - 58808
    FF - prefs.js: network.proxy.type - 0
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Toolbar-ITBar7Layout - (no file)
    Toolbar-ITBar7Position - (no file)
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-09-02 20:37
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MRxSmb]
    "ImagePath"="system32\drivers\tsk5.tmp"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_USERS\S-1-5-21-746137067-2049760794-1644491937-500\Software\Microsoft\Internet Explorer\User Preferences]
    @Denied: (2) (Administrator)
    "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5f,db,f8,f0,f9,19,b7,49,b5,cf,74,\
    "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5f,db,f8,f0,f9,19,b7,49,b5,cf,74,\
    "6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5f,db,f8,f0,f9,19,b7,49,b5,cf,74,\
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    .
    - - - - - - - > 'winlogon.exe'(1532)
    c:\windows\system32\SETUPAPI.dll
    .
    - - - - - - - > 'lsass.exe'(2004)
    c:\windows\system32\setupapi.dll
    .
    Heure de fin: 2011-09-02 20:38:20
    ComboFix-quarantined-files.txt 2011-09-02 18:38
    ComboFix2.txt 2011-09-02 09:43
    .
    Avant-CF: 108 016 218 112 octets libres
    Après-CF: 108 003 823 616 octets libres
    .
    - - End Of File - - 6DE0B9117C022D0176EA207565AF8DF0
    0
  18. Utilisateur anonyme
     
    on rafistole ton XP :P

    Télécharge SEAF.exe (de C_XX) sur ton bureau.
    http://www.teamxscript.org/SEAFTelechargement.html

    ? Double clique sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista) .

    ? Coche les cases:
    - Chercher également dans le registre
    - Informations supplémentaires

    ? Tape exactement ce texte dans cette fenêtre puis valide par [Entrée] :

    Volsnap.sys

    ? Patiente pendant la recherche, et ne touche a rien ...

    ? Une fenêtre avec un log .txt va s'afficher.

    ? Copie/colle ce rapport dans ta prochaine réponse.

    Tuto :
    http://www.teamxscript.org/SEAFRecherche.html

    0
  19. medha38 Messages postés 269 Statut Membre 18
     
    1. ========================= SEAF 1.0.1.0 - C_XX
    2.
    3. Commencé à: 10:40:30 le 03/09/2011
    4.
    5. Valeur(s) recherchée(s):
    6. Volsnap.sys
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) --- Calcul du Hash "MD5"
    11. (!) --- Informations supplémentaires
    12. (!) --- Affichage des ADS
    13. (!) --- Recherche registre
    14.
    15. ====== Fichier(s) ======
    16.
    17. Aucun fichier trouvé
    18.
    19.
    20. ====== Entrée(s) du registre ======
    21.
    22. Aucun élément dans le registre trouvé
    23.
    24. =========================
    25.
    26. Fin à: 10:43:42 le 03/09/2011
    27. 266376 Éléments analysés
    28.
    29. =========================
    30. E.O.F
    0
  20. Utilisateur anonyme
     
    on continue le rafistollage :P

    télécharge et enregistre ce fichier sur ton bureau :

    http://ww38.toofiles.com/fr/oip/documents/sys/volsnap.html

    fais un couper/coller du fichier dans ce répertoire :

    c:\windows\system32\Drivers

    redemarre le pc et relance Combofix, on verra ce qu'il trouve encore !!!

    donne moi des nouvelles de son fonctionnement :D

    0
  • 1
  • 2