TR/SPY.KeyLogger.NRP.21
Résolu
badema
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
avira (qui deconne ces jours ... pas de mise à jour possible!) a detecté dans le fichier C/Program Files Xzqjuwpit msgunkern.dll' TR/SPY.KeyLogger.NRP.21
mais: acces refuse à ce fichier
mon pc deconne grave, juste avant il s est planté : szAppName : iexplore.exe szAppVer : 8.0.6001.18702 szModName : hungapp
szModVer : 0.0.0.0 offset : 00000000
SOS :)
merci
avira (qui deconne ces jours ... pas de mise à jour possible!) a detecté dans le fichier C/Program Files Xzqjuwpit msgunkern.dll' TR/SPY.KeyLogger.NRP.21
mais: acces refuse à ce fichier
mon pc deconne grave, juste avant il s est planté : szAppName : iexplore.exe szAppVer : 8.0.6001.18702 szModName : hungapp
szModVer : 0.0.0.0 offset : 00000000
SOS :)
merci
A voir également:
- TR/SPY.KeyLogger.NRP.21
- Indicatif +21 - Forum Mobile
- Tr signification - Forum Mail
- +33 1 87 21 77 77 ✓ - Forum Mobile
- 0021 622763847 ✓ - Forum Mobile
- Sennheiser tr 4200 problème - Forum Casque et écouteurs
49 réponses
il me dit que j ai pas choisi de file à envoyer! je ne comprends pas, j ai bien selectioné le dossier comprimé!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
boh ... aussi sur pjjoint il me dit que j ai pas choisi de fichier ... qu est ce que je dois faire??? :/
j ai pas redemarrer à nouveau pour verifier si avira le detecte encore, je vais essayer ... en tout cas j ai l impression que l ordi est plus "fluide" donc M E R C I encore une fois, vous etes des geants ici ;)
malheureusement avira continue à dire que le logiciel est là et qu il ne peut pas y acceder... je ne sais pas si est avira qui deconne grave! pas encore possible de faire la mise à jour (en plus il y a deux jour que je l ai faite, apres bcp d echec et zac, ce logiciel malveillant est sorti)
bonjour! suis en retard :) c est trop chiant mon pc, il se plante! grrrrr
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120205_w12g107b13j13
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120205_w12g107b13j13
Ouais le keylogger est toujours là.
on va le dégager une bonne fois pour toute! !
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
on va le dégager une bonne fois pour toute! !
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
ComboFix 12-02-05.02 - admin 05/02/2012 16:48:43.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3070.2439 [GMT 1:00]
Lancé depuis: c:\documents and settings\admin\Bureau\badema.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\admin\WINDOWS
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\All Users\Application Data\TEMP\8927A071.TMP
c:\documents and settings\MOHAMED\Local Settings\Application Data\Skype\Phone\Skype.exe
c:\windows\EventSystem.log
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\unin0410.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-01-05 au 2012-02-05 ))))))))))))))))))))))))))))))))))))
.
.
2012-02-05 13:47 . 2012-02-05 13:47 63115 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\USERTILE.JS
2012-02-05 13:47 . 2012-02-05 13:47 9310 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXTBOX.JS
2012-02-05 13:47 . 2012-02-05 13:47 8646 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TILEBOX.JS
2012-02-05 13:47 . 2012-02-05 13:47 8613 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSER.JS
2012-02-05 13:47 . 2012-02-05 13:47 6429 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UICORE.JS
2012-02-05 13:47 . 2012-02-05 13:47 5927 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXT.JS
2012-02-05 13:47 . 2012-02-05 13:47 4599 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UIRESOURCE.JS
2012-02-05 13:47 . 2012-02-05 13:47 1651 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\QUERYSTRING.JS
2012-02-05 13:47 . 2012-02-05 13:47 6910 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERCOMM.JS
2012-02-05 13:47 . 2012-02-05 13:47 6208 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LINK.JS
2012-02-05 13:47 . 2012-02-05 13:47 18541 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LOCALIZATION.JS
2012-02-05 13:47 . 2012-02-05 13:47 8288 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\IMAGE.JS
2012-02-05 13:46 . 2012-02-05 13:46 7271 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\CHECKBOX.JS
2012-02-05 13:46 . 2012-02-05 13:46 51852 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\EXTERNALWRAPPER.JS
2012-02-05 13:46 . 2012-02-05 13:46 23327 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\COMBOBOX.JS
2012-02-05 13:46 . 2012-02-05 13:46 20719 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\DIVWRAPPER.JS
2012-02-05 13:46 . 2012-02-05 13:46 8782 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\BUTTON.JS
2012-01-30 17:28 . 2012-01-30 17:39 -------- d-----w- c:\documents and settings\MOHAMED\Application Data\Nikon
2012-01-30 17:28 . 2012-01-30 17:28 -------- d-----w- c:\documents and settings\MOHAMED\Local Settings\Application Data\Nikon
2012-01-30 15:24 . 2012-01-30 15:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Nikon
2012-01-30 14:32 . 2012-01-30 14:32 57344 ----a-r- c:\documents and settings\admin\Application Data\Microsoft\Installer\{87441A59-5E64-4096-A170-14EFE67200C3}\ARPPRODUCTICON.exe
2012-01-30 14:30 . 2012-01-30 14:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2012-01-18 09:37 . 2012-01-18 09:37 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll
2012-01-18 09:37 . 2012-01-18 09:37 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll
2012-01-18 09:37 . 2012-01-18 09:37 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll
2012-01-18 09:37 . 2012-01-18 09:37 43992 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-30 14:31 . 2008-10-31 19:25 106496 ----a-w- c:\windows\system32\ATL71.DLL
2011-12-10 14:24 . 2010-01-24 19:11 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-12-08 10:47 . 2011-12-08 10:47 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-11-30 16:30 . 2011-11-30 16:30 371272 ----a-r- c:\documents and settings\MOHAMED\Application Data\Microsoft\Installer\{AA59DDE4-B672-4621-A016-4C248204957A}\SkypeIcon.exe
2011-11-25 21:57 . 2008-04-25 12:46 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2008-04-25 12:46 1859712 ----a-w- c:\windows\system32\win32k.sys
2011-11-23 09:14 . 2011-11-23 09:14 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-20 06:12 . 2008-04-25 12:46 61952 ----a-w- c:\windows\system32\packager.exe
2011-11-16 14:22 . 2008-04-25 12:46 354816 ----a-w- c:\windows\system32\winhttp.dll
2011-11-16 14:22 . 2008-04-25 12:46 152064 ----a-w- c:\windows\system32\schannel.dll
2012-01-18 09:37 . 2011-05-13 17:58 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
"adgam"="c:\program files\xzqjuwypit\zbdunyactmx.exe" [2008-09-09 2334268]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-01-07 253672]
"adgam"="c:\program files\xzqjuwypit\zbdunyactmx.exe" [2008-09-09 2334268]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-30 13537280]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"Nikon Message Center 2"="c:\program files\Nikon\Nikon Message Center 2\NkMC2.exe" [2010-05-25 619008]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\StreamerOne\\StreamerOne.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [15/12/2009 17:09 136360]
R3 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [01/11/2008 04:04 51288]
R3 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [01/11/2008 04:04 43608]
R3 OEM13Afx;Provides a software interface to control audio effects of OEM013 camera.;c:\windows\system32\drivers\OEM13Afx.sys [01/11/2008 04:04 141376]
R3 OEM13Vfx;Creative Camera OEM013 Video VFX Driver;c:\windows\system32\drivers\OEM13Vfx.sys [01/11/2008 04:04 7424]
R3 OEM13Vid;Creative Camera OEM013 Driver;c:\windows\system32\drivers\OEM13Vid.sys [01/11/2008 04:04 235840]
.
Contenu du dossier 'Tâches planifiées'
.
2012-02-04 c:\windows\Tasks\User_Feed_Synchronization-{EB10DACB-7C33-434C-8A5B-B2F2E24E54E0}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://partnerpage.google.com/smallbiz.dell.com/fr_fr?hl=fr&client=dell-row&channel=fr-smb&ibd=6081101
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} - hxxp://www.commandondemand.com/eval/cod/cabs/cssweb.cab
FF - ProfilePath - c:\documents and settings\admin\Application Data\Mozilla\Firefox\Profiles\baw7ymo6.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-02-05 17:04
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(984)
c:\windows\System32\BCMLogon.dll
.
- - - - - - - > 'winlogon.exe'(1652)
c:\windows\System32\BCMLogon.dll
.
Heure de fin: 2012-02-05 17:06:11
ComboFix-quarantined-files.txt 2012-02-05 16:06
.
Avant-CF: 141 474 058 240 octets libres
Après-CF: 147 073 363 968 octets libres
.
- - End Of File - - CBBCDC249A4290B98597E6548F441E8A
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3070.2439 [GMT 1:00]
Lancé depuis: c:\documents and settings\admin\Bureau\badema.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\admin\WINDOWS
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\All Users\Application Data\TEMP\8927A071.TMP
c:\documents and settings\MOHAMED\Local Settings\Application Data\Skype\Phone\Skype.exe
c:\windows\EventSystem.log
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\unin0410.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-01-05 au 2012-02-05 ))))))))))))))))))))))))))))))))))))
.
.
2012-02-05 13:47 . 2012-02-05 13:47 63115 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\USERTILE.JS
2012-02-05 13:47 . 2012-02-05 13:47 9310 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXTBOX.JS
2012-02-05 13:47 . 2012-02-05 13:47 8646 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TILEBOX.JS
2012-02-05 13:47 . 2012-02-05 13:47 8613 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSER.JS
2012-02-05 13:47 . 2012-02-05 13:47 6429 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UICORE.JS
2012-02-05 13:47 . 2012-02-05 13:47 5927 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXT.JS
2012-02-05 13:47 . 2012-02-05 13:47 4599 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UIRESOURCE.JS
2012-02-05 13:47 . 2012-02-05 13:47 1651 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\QUERYSTRING.JS
2012-02-05 13:47 . 2012-02-05 13:47 6910 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERCOMM.JS
2012-02-05 13:47 . 2012-02-05 13:47 6208 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LINK.JS
2012-02-05 13:47 . 2012-02-05 13:47 18541 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LOCALIZATION.JS
2012-02-05 13:47 . 2012-02-05 13:47 8288 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\IMAGE.JS
2012-02-05 13:46 . 2012-02-05 13:46 7271 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\CHECKBOX.JS
2012-02-05 13:46 . 2012-02-05 13:46 51852 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\EXTERNALWRAPPER.JS
2012-02-05 13:46 . 2012-02-05 13:46 23327 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\COMBOBOX.JS
2012-02-05 13:46 . 2012-02-05 13:46 20719 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\DIVWRAPPER.JS
2012-02-05 13:46 . 2012-02-05 13:46 8782 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\BUTTON.JS
2012-01-30 17:28 . 2012-01-30 17:39 -------- d-----w- c:\documents and settings\MOHAMED\Application Data\Nikon
2012-01-30 17:28 . 2012-01-30 17:28 -------- d-----w- c:\documents and settings\MOHAMED\Local Settings\Application Data\Nikon
2012-01-30 15:24 . 2012-01-30 15:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Nikon
2012-01-30 14:32 . 2012-01-30 14:32 57344 ----a-r- c:\documents and settings\admin\Application Data\Microsoft\Installer\{87441A59-5E64-4096-A170-14EFE67200C3}\ARPPRODUCTICON.exe
2012-01-30 14:30 . 2012-01-30 14:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2012-01-18 09:37 . 2012-01-18 09:37 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll
2012-01-18 09:37 . 2012-01-18 09:37 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll
2012-01-18 09:37 . 2012-01-18 09:37 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll
2012-01-18 09:37 . 2012-01-18 09:37 43992 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-30 14:31 . 2008-10-31 19:25 106496 ----a-w- c:\windows\system32\ATL71.DLL
2011-12-10 14:24 . 2010-01-24 19:11 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-12-08 10:47 . 2011-12-08 10:47 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-11-30 16:30 . 2011-11-30 16:30 371272 ----a-r- c:\documents and settings\MOHAMED\Application Data\Microsoft\Installer\{AA59DDE4-B672-4621-A016-4C248204957A}\SkypeIcon.exe
2011-11-25 21:57 . 2008-04-25 12:46 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2008-04-25 12:46 1859712 ----a-w- c:\windows\system32\win32k.sys
2011-11-23 09:14 . 2011-11-23 09:14 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-20 06:12 . 2008-04-25 12:46 61952 ----a-w- c:\windows\system32\packager.exe
2011-11-16 14:22 . 2008-04-25 12:46 354816 ----a-w- c:\windows\system32\winhttp.dll
2011-11-16 14:22 . 2008-04-25 12:46 152064 ----a-w- c:\windows\system32\schannel.dll
2012-01-18 09:37 . 2011-05-13 17:58 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
"adgam"="c:\program files\xzqjuwypit\zbdunyactmx.exe" [2008-09-09 2334268]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-01-07 253672]
"adgam"="c:\program files\xzqjuwypit\zbdunyactmx.exe" [2008-09-09 2334268]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-30 13537280]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"Nikon Message Center 2"="c:\program files\Nikon\Nikon Message Center 2\NkMC2.exe" [2010-05-25 619008]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\StreamerOne\\StreamerOne.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [15/12/2009 17:09 136360]
R3 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [01/11/2008 04:04 51288]
R3 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [01/11/2008 04:04 43608]
R3 OEM13Afx;Provides a software interface to control audio effects of OEM013 camera.;c:\windows\system32\drivers\OEM13Afx.sys [01/11/2008 04:04 141376]
R3 OEM13Vfx;Creative Camera OEM013 Video VFX Driver;c:\windows\system32\drivers\OEM13Vfx.sys [01/11/2008 04:04 7424]
R3 OEM13Vid;Creative Camera OEM013 Driver;c:\windows\system32\drivers\OEM13Vid.sys [01/11/2008 04:04 235840]
.
Contenu du dossier 'Tâches planifiées'
.
2012-02-04 c:\windows\Tasks\User_Feed_Synchronization-{EB10DACB-7C33-434C-8A5B-B2F2E24E54E0}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://partnerpage.google.com/smallbiz.dell.com/fr_fr?hl=fr&client=dell-row&channel=fr-smb&ibd=6081101
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} - hxxp://www.commandondemand.com/eval/cod/cabs/cssweb.cab
FF - ProfilePath - c:\documents and settings\admin\Application Data\Mozilla\Firefox\Profiles\baw7ymo6.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-02-05 17:04
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(984)
c:\windows\System32\BCMLogon.dll
.
- - - - - - - > 'winlogon.exe'(1652)
c:\windows\System32\BCMLogon.dll
.
Heure de fin: 2012-02-05 17:06:11
ComboFix-quarantined-files.txt 2012-02-05 16:06
.
Avant-CF: 141 474 058 240 octets libres
Après-CF: 147 073 363 968 octets libres
.
- - End Of File - - CBBCDC249A4290B98597E6548F441E8A
Combofix est passé à côté sans broncher ! ^^
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
Folder::
c:\program files\xzqjuwypit
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"adgam"=-
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
Folder::
c:\program files\xzqjuwypit
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"adgam"=-
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
bonjour! j espere qu on va se liberer de ce salaud :)
ComboFix 12-02-05.02 - admin 06/02/2012 8:07.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3070.2392 [GMT 1:00]
Lancé depuis: c:\documents and settings\admin\Bureau\badema.exe
Commutateurs utilisés :: c:\documents and settings\admin\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\xzqjuwypit
c:\program files\xzqjuwypit\help.chm
c:\program files\xzqjuwypit\unins000.dat
c:\program files\xzqjuwypit\unins000.exe
c:\program files\xzqjuwypit\zbdunyactmx.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-01-06 au 2012-02-06 ))))))))))))))))))))))))))))))))))))
.
.
2012-01-30 17:28 . 2012-01-30 17:39 -------- d-----w- c:\documents and settings\MOHAMED\Application Data\Nikon
2012-01-30 17:28 . 2012-01-30 17:28 -------- d-----w- c:\documents and settings\MOHAMED\Local Settings\Application Data\Nikon
2012-01-30 15:24 . 2012-01-30 15:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Nikon
2012-01-30 14:32 . 2012-01-30 14:32 57344 ----a-r- c:\documents and settings\admin\Application Data\Microsoft\Installer\{87441A59-5E64-4096-A170-14EFE67200C3}\ARPPRODUCTICON.exe
2012-01-30 14:30 . 2012-01-30 14:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2012-01-18 09:37 . 2012-01-18 09:37 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll
2012-01-18 09:37 . 2012-01-18 09:37 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll
2012-01-18 09:37 . 2012-01-18 09:37 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll
2012-01-18 09:37 . 2012-01-18 09:37 43992 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-30 14:31 . 2008-10-31 19:25 106496 ----a-w- c:\windows\system32\ATL71.DLL
2011-12-10 14:24 . 2010-01-24 19:11 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-12-08 10:47 . 2011-12-08 10:47 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-11-30 16:30 . 2011-11-30 16:30 371272 ----a-r- c:\documents and settings\MOHAMED\Application Data\Microsoft\Installer\{AA59DDE4-B672-4621-A016-4C248204957A}\SkypeIcon.exe
2011-11-25 21:57 . 2008-04-25 12:46 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2008-04-25 12:46 1859712 ----a-w- c:\windows\system32\win32k.sys
2011-11-23 09:14 . 2011-11-23 09:14 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-20 06:12 . 2008-04-25 12:46 61952 ----a-w- c:\windows\system32\packager.exe
2011-11-16 14:22 . 2008-04-25 12:46 354816 ----a-w- c:\windows\system32\winhttp.dll
2011-11-16 14:22 . 2008-04-25 12:46 152064 ----a-w- c:\windows\system32\schannel.dll
2012-01-18 09:37 . 2011-05-13 17:58 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2012-02-05_16.04.19 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-02-06 07:59 . 2012-02-06 07:59 16384 c:\windows\Temp\Perflib_Perfdata_198.dat
+ 2010-10-15 21:51 . 2010-10-15 21:51 9846 c:\windows\system32\mswdncore.dll
- 2010-02-12 13:42 . 2010-02-12 13:42 9846 c:\windows\system32\mswdncore.dll
+ 2012-02-06 07:59 . 2008-12-16 20:59 109080 c:\windows\Temp\logishrd\LVPrcInj01.dll
+ 2010-01-13 21:52 . 2012-02-05 21:51 324257824 c:\windows\system32\drivers\fidbox.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-01-07 253672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-30 13537280]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]
"Nikon Message Center 2"="c:\program files\Nikon\Nikon Message Center 2\NkMC2.exe" [2010-05-25 619008]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\StreamerOne\\StreamerOne.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [15/12/2009 17:09 136360]
R3 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [01/11/2008 04:04 51288]
R3 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [01/11/2008 04:04 43608]
R3 OEM13Afx;Provides a software interface to control audio effects of OEM013 camera.;c:\windows\system32\drivers\OEM13Afx.sys [01/11/2008 04:04 141376]
R3 OEM13Vfx;Creative Camera OEM013 Video VFX Driver;c:\windows\system32\drivers\OEM13Vfx.sys [01/11/2008 04:04 7424]
R3 OEM13Vid;Creative Camera OEM013 Driver;c:\windows\system32\drivers\OEM13Vid.sys [01/11/2008 04:04 235840]
.
Contenu du dossier 'Tâches planifiées'
.
2012-02-06 c:\windows\Tasks\User_Feed_Synchronization-{EB10DACB-7C33-434C-8A5B-B2F2E24E54E0}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://partnerpage.google.com/smallbiz.dell.com/fr_fr?hl=fr&client=dell-row&channel=fr-smb&ibd=6081101
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} - hxxp://www.commandondemand.com/eval/cod/cabs/cssweb.cab
FF - ProfilePath - c:\documents and settings\admin\Application Data\Mozilla\Firefox\Profiles\baw7ymo6.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-adgam - c:\program files\xzqjuwypit\zbdunyactmx.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-02-06 09:12
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(984)
c:\windows\System32\BCMLogon.dll
.
- - - - - - - > 'explorer.exe'(7460)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\ArcSoft\PhotoImpression 5\share\pihook.dll
c:\program files\Roxio\Drag-to-Disc\Shellex.dll
c:\program files\Fichiers communs\Roxio Shared\9.0\DLLShared\DLAAPI_W.DLL
c:\program files\Roxio\Drag-to-Disc\ShellRes.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\DRIVERS\o2flash.exe
c:\program files\Dell Support Center\bin\sprtsvc.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2012-02-06 09:17:14 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-02-06 08:17
ComboFix2.txt 2012-02-05 16:06
.
Avant-CF: 147 143 127 040 octets libres
Après-CF: 147 284 008 960 octets libres
.
- - End Of File - - B7DD428DAEC47E104D8BFE3B4644DC52
ComboFix 12-02-05.02 - admin 06/02/2012 8:07.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3070.2392 [GMT 1:00]
Lancé depuis: c:\documents and settings\admin\Bureau\badema.exe
Commutateurs utilisés :: c:\documents and settings\admin\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\xzqjuwypit
c:\program files\xzqjuwypit\help.chm
c:\program files\xzqjuwypit\unins000.dat
c:\program files\xzqjuwypit\unins000.exe
c:\program files\xzqjuwypit\zbdunyactmx.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-01-06 au 2012-02-06 ))))))))))))))))))))))))))))))))))))
.
.
2012-01-30 17:28 . 2012-01-30 17:39 -------- d-----w- c:\documents and settings\MOHAMED\Application Data\Nikon
2012-01-30 17:28 . 2012-01-30 17:28 -------- d-----w- c:\documents and settings\MOHAMED\Local Settings\Application Data\Nikon
2012-01-30 15:24 . 2012-01-30 15:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Nikon
2012-01-30 14:32 . 2012-01-30 14:32 57344 ----a-r- c:\documents and settings\admin\Application Data\Microsoft\Installer\{87441A59-5E64-4096-A170-14EFE67200C3}\ARPPRODUCTICON.exe
2012-01-30 14:30 . 2012-01-30 14:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2012-01-18 09:37 . 2012-01-18 09:37 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll
2012-01-18 09:37 . 2012-01-18 09:37 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll
2012-01-18 09:37 . 2012-01-18 09:37 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll
2012-01-18 09:37 . 2012-01-18 09:37 43992 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-30 14:31 . 2008-10-31 19:25 106496 ----a-w- c:\windows\system32\ATL71.DLL
2011-12-10 14:24 . 2010-01-24 19:11 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-12-08 10:47 . 2011-12-08 10:47 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-11-30 16:30 . 2011-11-30 16:30 371272 ----a-r- c:\documents and settings\MOHAMED\Application Data\Microsoft\Installer\{AA59DDE4-B672-4621-A016-4C248204957A}\SkypeIcon.exe
2011-11-25 21:57 . 2008-04-25 12:46 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2008-04-25 12:46 1859712 ----a-w- c:\windows\system32\win32k.sys
2011-11-23 09:14 . 2011-11-23 09:14 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-20 06:12 . 2008-04-25 12:46 61952 ----a-w- c:\windows\system32\packager.exe
2011-11-16 14:22 . 2008-04-25 12:46 354816 ----a-w- c:\windows\system32\winhttp.dll
2011-11-16 14:22 . 2008-04-25 12:46 152064 ----a-w- c:\windows\system32\schannel.dll
2012-01-18 09:37 . 2011-05-13 17:58 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2012-02-05_16.04.19 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-02-06 07:59 . 2012-02-06 07:59 16384 c:\windows\Temp\Perflib_Perfdata_198.dat
+ 2010-10-15 21:51 . 2010-10-15 21:51 9846 c:\windows\system32\mswdncore.dll
- 2010-02-12 13:42 . 2010-02-12 13:42 9846 c:\windows\system32\mswdncore.dll
+ 2012-02-06 07:59 . 2008-12-16 20:59 109080 c:\windows\Temp\logishrd\LVPrcInj01.dll
+ 2010-01-13 21:52 . 2012-02-05 21:51 324257824 c:\windows\system32\drivers\fidbox.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-01-07 253672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-30 13537280]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]
"Nikon Message Center 2"="c:\program files\Nikon\Nikon Message Center 2\NkMC2.exe" [2010-05-25 619008]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\StreamerOne\\StreamerOne.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [15/12/2009 17:09 136360]
R3 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [01/11/2008 04:04 51288]
R3 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [01/11/2008 04:04 43608]
R3 OEM13Afx;Provides a software interface to control audio effects of OEM013 camera.;c:\windows\system32\drivers\OEM13Afx.sys [01/11/2008 04:04 141376]
R3 OEM13Vfx;Creative Camera OEM013 Video VFX Driver;c:\windows\system32\drivers\OEM13Vfx.sys [01/11/2008 04:04 7424]
R3 OEM13Vid;Creative Camera OEM013 Driver;c:\windows\system32\drivers\OEM13Vid.sys [01/11/2008 04:04 235840]
.
Contenu du dossier 'Tâches planifiées'
.
2012-02-06 c:\windows\Tasks\User_Feed_Synchronization-{EB10DACB-7C33-434C-8A5B-B2F2E24E54E0}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://partnerpage.google.com/smallbiz.dell.com/fr_fr?hl=fr&client=dell-row&channel=fr-smb&ibd=6081101
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} - hxxp://www.commandondemand.com/eval/cod/cabs/cssweb.cab
FF - ProfilePath - c:\documents and settings\admin\Application Data\Mozilla\Firefox\Profiles\baw7ymo6.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-adgam - c:\program files\xzqjuwypit\zbdunyactmx.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-02-06 09:12
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(984)
c:\windows\System32\BCMLogon.dll
.
- - - - - - - > 'explorer.exe'(7460)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\ArcSoft\PhotoImpression 5\share\pihook.dll
c:\program files\Roxio\Drag-to-Disc\Shellex.dll
c:\program files\Fichiers communs\Roxio Shared\9.0\DLLShared\DLAAPI_W.DLL
c:\program files\Roxio\Drag-to-Disc\ShellRes.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\DRIVERS\o2flash.exe
c:\program files\Dell Support Center\bin\sprtsvc.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2012-02-06 09:17:14 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-02-06 08:17
ComboFix2.txt 2012-02-05 16:06
.
Avant-CF: 147 143 127 040 octets libres
Après-CF: 147 284 008 960 octets libres
.
- - End Of File - - B7DD428DAEC47E104D8BFE3B4644DC52