Virus
Fermé
amelo101
Messages postés
53
Date d'inscription
mardi 8 juin 2010
Statut
Membre
Dernière intervention
14 mars 2012
-
13 mars 2012 à 22:43
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 15 mars 2012 à 05:52
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 15 mars 2012 à 05:52
A voir également:
- Virus
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Softonic virus ✓ - Forum Virus
- Faux message virus iphone - Forum iPhone
14 réponses
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
14 mars 2012 à 20:08
14 mars 2012 à 20:08
Je réitère ma question :
ça te dit quelque chose ça ?
c:\pscript.dlg\PScript.exe
ça te dit quelque chose ça ?
c:\pscript.dlg\PScript.exe
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2012 à 22:47
13 mars 2012 à 22:47
Salut,
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
amelo101
Messages postés
53
Date d'inscription
mardi 8 juin 2010
Statut
Membre
Dernière intervention
14 mars 2012
13 mars 2012 à 23:08
13 mars 2012 à 23:08
merci pour ton aide, j'ai bien scanné le micro et j'ai même envoyé le rapport en donnant son accés.
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2012 à 23:09
13 mars 2012 à 23:09
le lien ? sinon je peux pas lire ton rapport mdr
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
amelo101
Messages postés
53
Date d'inscription
mardi 8 juin 2010
Statut
Membre
Dernière intervention
14 mars 2012
13 mars 2012 à 23:12
13 mars 2012 à 23:12
comment faire pour trouver le lien ?
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2012 à 23:13
13 mars 2012 à 23:13
bah si tu as hébergé le rapport sur pjjoint ça te donne un lien en retour
amelo101
Messages postés
53
Date d'inscription
mardi 8 juin 2010
Statut
Membre
Dernière intervention
14 mars 2012
13 mars 2012 à 23:14
13 mars 2012 à 23:14
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2012 à 23:21
13 mars 2012 à 23:21
ta clé wilogon/shell est pétée
des fichiers systèmes ont été détournés
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
_________________________________________________________
>> Ferme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
des fichiers systèmes ont été détournés
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
_________________________________________________________
>> Ferme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
amelo101
Messages postés
53
Date d'inscription
mardi 8 juin 2010
Statut
Membre
Dernière intervention
14 mars 2012
13 mars 2012 à 23:49
13 mars 2012 à 23:49
voici en bas le rapport combofix
ComboFix 12-03-13.01 - DELL 13/03/2012 23:36:17.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.990.588 [GMT 0:00]
Lancé depuis: C:\amel.exe
AV: ESET Smart Security 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET Personal firewall *Disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\autorun.inf
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\All Users\Application Data\TEMP\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
C:\DUB
c:\dub\WONK\DesKTop.ini
C:\explorer.exe
C:\info.bat
C:\Jojo.exe
C:\logoneui.exe
c:\oga\RD
c:\oga\RD\DesKTop.ini
c:\oga\RD\GOx.exe
c:\program files\{17350501621331}.exe
c:\program files\Common Files\SysAnti.exe
c:\program files\Explorer.exe
c:\program files\Haihaisoft Universal Player\hmplayer.exe
C:\SysAnti.exe
c:\windows\BackUp
c:\windows\BackUp\autorun.inf
c:\windows\BackUp\explorer.exe
c:\windows\dasetup.log
c:\windows\EventSystem.log
c:\windows\Fonts\aacbq.dll
c:\windows\Fonts\aarcq.dll
c:\windows\Fonts\agssb.dll
c:\windows\Fonts\ahope.dll
c:\windows\Fonts\aimgw.dll
c:\windows\Fonts\ajlnd.dll
c:\windows\Fonts\aqdak.dll
c:\windows\Fonts\arjjo.dll
c:\windows\Fonts\arnsl.dll
c:\windows\Fonts\aubeu.dll
c:\windows\Fonts\augvq.dll
c:\windows\Fonts\auwta.dll
c:\windows\Fonts\avolr.dll
c:\windows\Fonts\bbnua.dll
c:\windows\Fonts\bdsmp.dll
c:\windows\Fonts\beoxg.dll
c:\windows\Fonts\bfbvk.dll
c:\windows\Fonts\bivxm.dll
c:\windows\Fonts\bkpeq.dll
c:\windows\Fonts\bkrug.dll
c:\windows\Fonts\blsmt.dll
c:\windows\Fonts\btlah.dll
c:\windows\Fonts\btmdr.dll
c:\windows\Fonts\btvom.dll
c:\windows\Fonts\busth.dll
c:\windows\Fonts\caqnc.dll
c:\windows\Fonts\chrsx.dll
c:\windows\Fonts\cipoj.dll
c:\windows\Fonts\cjrom.dll
c:\windows\Fonts\cmask.dll
c:\windows\Fonts\cnfvv.dll
c:\windows\Fonts\cqmhm.dll
c:\windows\Fonts\crksq.dll
c:\windows\Fonts\csuvv.dll
c:\windows\Fonts\cvsll.dll
c:\windows\Fonts\cxvqq.dll
c:\windows\Fonts\danjb.dll
c:\windows\Fonts\dcrkp.dll
c:\windows\Fonts\dfwnt.dll
c:\windows\Fonts\dgrpn.dll
c:\windows\Fonts\dielp.dll
c:\windows\Fonts\dnwrq.dll
c:\windows\Fonts\dpxxl.dll
c:\windows\Fonts\eakgq.dll
c:\windows\Fonts\eiawj.dll
c:\windows\Fonts\ekwvi.dll
c:\windows\Fonts\eobuh.dll
c:\windows\Fonts\esthc.dll
c:\windows\Fonts\exbsu.dll
c:\windows\Fonts\fasew.dll
c:\windows\Fonts\fcadu.dll
c:\windows\Fonts\feifa.dll
c:\windows\Fonts\fhudh.dll
c:\windows\Fonts\flkbb.dll
c:\windows\Fonts\fonel.dll
c:\windows\Fonts\fuinn.dll
c:\windows\Fonts\fuxpv.dll
c:\windows\Fonts\gaovn.dll
c:\windows\Fonts\gkprq.dll
c:\windows\Fonts\glbsl.dll
c:\windows\Fonts\gloaq.dll
c:\windows\Fonts\glvin.dll
c:\windows\Fonts\glxeu.dll
c:\windows\Fonts\gpgrl.dll
c:\windows\Fonts\gufch.dll
c:\windows\Fonts\gvhan.dll
c:\windows\Fonts\gxcrp.dll
c:\windows\Fonts\gxcvt.dll
c:\windows\Fonts\hcggo.dll
c:\windows\Fonts\hcinq.dll
c:\windows\Fonts\hhpni.dll
c:\windows\Fonts\hiadr.dll
c:\windows\Fonts\hiawo.dll
c:\windows\Fonts\hicqn.dll
c:\windows\Fonts\hksph.dll
c:\windows\Fonts\hmeuo.dll
c:\windows\Fonts\hnwcm.dll
c:\windows\Fonts\hopsu.dll
c:\windows\Fonts\hsmwq.dll
c:\windows\Fonts\hsnoe.dll
c:\windows\Fonts\htipw.dll
c:\windows\Fonts\huqqc.dll
c:\windows\Fonts\ibdid.dll
c:\windows\Fonts\iclhi.dll
c:\windows\Fonts\iemfm.dll
c:\windows\Fonts\ighno.dll
c:\windows\Fonts\iidhf.dll
c:\windows\Fonts\ikcqd.dll
c:\windows\Fonts\iojkn.dll
c:\windows\Fonts\iopeh.dll
c:\windows\Fonts\iphvr.dll
c:\windows\Fonts\iphxu.dll
c:\windows\Fonts\itdro.dll
c:\windows\Fonts\itrat.dll
c:\windows\Fonts\jelxe.dll
c:\windows\Fonts\jlage.dll
c:\windows\Fonts\jmfha.dll
c:\windows\Fonts\jncxp.dll
c:\windows\Fonts\jrran.dll
c:\windows\Fonts\jscbt.dll
c:\windows\Fonts\jujnr.dll
c:\windows\Fonts\jvpfa.dll
c:\windows\Fonts\kebvh.dll
c:\windows\Fonts\kfjun.dll
c:\windows\Fonts\kgamn.dll
c:\windows\Fonts\kiodw.dll
c:\windows\Fonts\kkfve.dll
c:\windows\Fonts\kmdjo.dll
c:\windows\Fonts\knahu.dll
c:\windows\Fonts\kobwx.dll
c:\windows\Fonts\kvpuu.dll
c:\windows\Fonts\ldgvj.dll
c:\windows\Fonts\lgpss.dll
c:\windows\Fonts\llbwm.dll
c:\windows\Fonts\lorxe.dll
c:\windows\Fonts\lukkk.dll
c:\windows\Fonts\lwhrm.dll
c:\windows\Fonts\mckbc.dll
c:\windows\Fonts\mhida.dll
c:\windows\Fonts\mhoat.dll
c:\windows\Fonts\mnvsh.dll
c:\windows\Fonts\moogb.dll
c:\windows\Fonts\mookc.dll
c:\windows\Fonts\muiiu.dll
c:\windows\Fonts\muocc.dll
c:\windows\Fonts\mwujt.dll
c:\windows\Fonts\mxedo.dll
c:\windows\Fonts\mxwrv.dll
c:\windows\Fonts\nbmeu.dll
c:\windows\Fonts\nciji.dll
c:\windows\Fonts\ncseb.dll
c:\windows\Fonts\nefuk.dll
c:\windows\Fonts\nfcgh.dll
c:\windows\Fonts\niokr.dll
c:\windows\Fonts\nmscd.dll
c:\windows\Fonts\noedt.dll
c:\windows\Fonts\nrajc.dll
c:\windows\Fonts\ntkud.dll
c:\windows\Fonts\ntvkb.dll
c:\windows\Fonts\nufoq.dll
c:\windows\Fonts\nwjiw.dll
c:\windows\Fonts\oauxn.dll
c:\windows\Fonts\ofwrk.dll
c:\windows\Fonts\ogwav.dll
c:\windows\Fonts\okcwj.dll
c:\windows\Fonts\omeci.dll
c:\windows\Fonts\omnun.dll
c:\windows\Fonts\onagx.dll
c:\windows\Fonts\orgvm.dll
c:\windows\Fonts\oxiqa.dll
c:\windows\Fonts\oxsvm.dll
c:\windows\Fonts\pcfxp.dll
c:\windows\Fonts\phrps.dll
c:\windows\Fonts\pmdgc.dll
c:\windows\Fonts\pmlgo.dll
c:\windows\Fonts\ppuvx.dll
c:\windows\Fonts\pskrc.dll
c:\windows\Fonts\pulru.dll
c:\windows\Fonts\punew.dll
c:\windows\Fonts\purud.dll
c:\windows\Fonts\pxaku.dll
c:\windows\Fonts\qbkjg.dll
c:\windows\Fonts\qccqv.dll
c:\windows\Fonts\qcudt.dll
c:\windows\Fonts\qeskc.dll
c:\windows\Fonts\qjckp.dll
c:\windows\Fonts\qmpwr.dll
c:\windows\Fonts\qpdaj.dll
c:\windows\Fonts\qrwvw.dll
c:\windows\Fonts\qtqpg.dll
c:\windows\Fonts\qunqe.dll
c:\windows\Fonts\qwcqc.dll
c:\windows\Fonts\qxrag.dll
c:\windows\Fonts\rbqqs.dll
c:\windows\Fonts\rimbi.dll
c:\windows\Fonts\rmiqi.dll
c:\windows\Fonts\rsuax.dll
c:\windows\Fonts\rtblh.dll
c:\windows\Fonts\rvefe.dll
c:\windows\Fonts\sdsxa.dll
c:\windows\Fonts\sggke.dll
c:\windows\Fonts\sjjbg.dll
c:\windows\Fonts\slbxx.dll
c:\windows\Fonts\swnmu.dll
c:\windows\Fonts\tbdhv.dll
c:\windows\Fonts\thgtp.dll
c:\windows\Fonts\ticbh.dll
c:\windows\Fonts\tkglm.dll
c:\windows\Fonts\tkmcn.dll
c:\windows\Fonts\tnmak.dll
c:\windows\Fonts\tqdbt.dll
c:\windows\Fonts\truxl.dll
c:\windows\Fonts\tutwv.dll
c:\windows\Fonts\twfbv.dll
c:\windows\Fonts\twjfh.dll
c:\windows\Fonts\txwkj.dll
c:\windows\Fonts\udahl.dll
c:\windows\Fonts\uhxaa.dll
c:\windows\Fonts\uilks.dll
c:\windows\Fonts\ukjpq.dll
c:\windows\Fonts\uklos.dll
c:\windows\Fonts\ulfkq.dll
c:\windows\Fonts\ulngq.dll
c:\windows\Fonts\umcfr.dll
c:\windows\Fonts\upnct.dll
c:\windows\Fonts\utfra.dll
c:\windows\Fonts\uulvp.dll
c:\windows\Fonts\vahje.dll
c:\windows\Fonts\valqv.dll
c:\windows\Fonts\venhu.dll
c:\windows\Fonts\vfibd.dll
c:\windows\Fonts\vhsog.dll
c:\windows\Fonts\vjdbt.dll
c:\windows\Fonts\vjgpm.dll
c:\windows\Fonts\vkgfi.dll
c:\windows\Fonts\vlpxd.dll
c:\windows\Fonts\vmahf.dll
c:\windows\Fonts\votbx.dll
c:\windows\Fonts\vpmjs.dll
c:\windows\Fonts\vucug.dll
c:\windows\Fonts\vulwx.dll
c:\windows\Fonts\wbidk.dll
c:\windows\Fonts\wdoum.dll
c:\windows\Fonts\wenpb.dll
c:\windows\Fonts\wfspl.dll
c:\windows\Fonts\wgadf.dll
c:\windows\Fonts\whhrs.dll
c:\windows\Fonts\widdd.dll
c:\windows\Fonts\wqchn.dll
c:\windows\Fonts\wqlaq.dll
c:\windows\Fonts\wqqfm.dll
c:\windows\Fonts\wqutq.dll
c:\windows\Fonts\wtghr.dll
c:\windows\Fonts\wwkrx.dll
c:\windows\Fonts\wxifg.dll
c:\windows\Fonts\xcinu.dll
c:\windows\Fonts\xevfm.dll
c:\windows\Fonts\xgtma.dll
c:\windows\Fonts\xhsgj.dll
c:\windows\Fonts\xhxeg.dll
c:\windows\Fonts\xqbjl.dll
c:\windows\svchost.ini
c:\windows\system32\autorun.ini
c:\windows\system32\boote
c:\windows\system32\boote\boot.ini
c:\windows\system32\bycool
c:\windows\system32\bycool1
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\f
c:\windows\system32\f\d\e\d\h\DELL_01_03_2009_08_15_36\01_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_01_03_2009_08_15_36\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_01_03_2009_09_45_47\01_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_01_03_2009_09_45_47\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_01_03_2009_10_34_35\01_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_01_03_2009_10_34_35\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_01_04_2009_10_26_02\01_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_01_04_2009_10_26_02\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_02_02_2009_11_14_01\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_02_02_2009_12_07_21\02_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_02_02_2009_12_07_21\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_02_02_2009_17_28_35\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_02_03_2009_07_40_30\02_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_02_03_2009_07_40_30\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_02_04_2009_10_09_04\02_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_02_04_2009_10_09_04\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_02_05_2009_09_39_00\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_04_02_2009_08_44_43\04_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_04_02_2009_08_44_43\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_04_03_2009_06_49_27\04_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_04_03_2009_06_49_27\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_04_04_2009_13_16_20\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_05_04_2009_08_31_54\05_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_05_04_2009_08_31_54\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_07_02_2009_15_10_00\07_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_07_02_2009_15_10_00\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_07_03_2009_08_12_24\07_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_07_03_2009_08_12_24\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_08_03_2009_13_17_54\08_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_08_03_2009_13_17_54\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_08_04_2009_11_12_03\08_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_08_04_2009_11_12_03\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_09_05_2009_09_15_49\09_05_2009.K
c:\windows\system32\f\d\e\d\h\DELL_09_05_2009_09_15_49\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_09_05_2009_10_23_34\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_10_03_2009_14_08_50\10_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_10_03_2009_14_08_50\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_10_05_2009_08_53_31\10_05_2009.K
c:\windows\system32\f\d\e\d\h\DELL_10_05_2009_08_53_31\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_11_04_2009_11_34_37\11_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_11_04_2009_11_34_37\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_12_03_2009_14_44_57\12_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_12_03_2009_14_44_57\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_13_04_2009_08_31_07\13_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_13_04_2009_08_31_07\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_14_03_2009_08_41_31\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_14_04_2009_15_23_54\14_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_14_04_2009_15_23_54\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_16_04_2009_09_19_51\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_18_01_2009_10_45_48\18_01_2009.K
c:\windows\system32\f\d\e\d\h\DELL_18_01_2009_10_45_48\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_18_03_2009_09_23_43\18_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_18_03_2009_09_23_43\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_19_01_2009_13_31_03\19_01_2009.K
c:\windows\system32\f\d\e\d\h\DELL_19_01_2009_13_31_03\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_19_03_2009_08_43_07\19_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_19_03_2009_08_43_07\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_19_05_2009_09_53_58\19_05_2009.K
c:\windows\system32\f\d\e\d\h\DELL_19_05_2009_09_53_58\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_20_01_2009_09_13_21\20_01_2009.K
c:\windows\system32\f\d\e\d\h\DELL_20_01_2009_09_13_21\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_21_01_2009_13_28_29\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_21_03_2009_14_59_47\21_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_21_03_2009_14_59_47\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_22_02_2009_09_17_52\22_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_22_02_2009_09_17_52\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_22_02_2009_14_40_59\22_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_22_02_2009_14_40_59\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_22_03_2009_13_45_18\22_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_22_03_2009_13_45_18\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_23_03_2009_08_06_19\23_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_23_03_2009_08_06_19\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_25_02_2009_13_58_45\25_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_25_02_2009_13_58_45\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_25_02_2009_16_31_40\25_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_25_02_2009_16_31_40\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_25_02_2009_19_07_41\25_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_25_02_2009_19_07_41\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_25_03_2009_12_12_35\25_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_25_03_2009_12_12_35\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_26_02_2009_09_26_50\26_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_26_02_2009_09_26_50\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_26_04_2009_10_16_40\26_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_26_04_2009_10_16_40\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_28_02_2009_14_21_20\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_28_02_2009_14_46_16\28_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_28_02_2009_14_46_16\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_29_01_2009_16_00_46\29_01_2009.K
c:\windows\system32\f\d\e\d\h\DELL_29_01_2009_16_00_46\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_30_03_2009_11_31_26\30_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_30_03_2009_11_31_26\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_31_03_2009_09_34_09\31_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_31_03_2009_09_34_09\comp.rar
c:\windows\system32\logoneui.exe
c:\windows\Web\connection.dat
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_DRVKILLER
-------\Service_abp470n5
-------\Service_DrvKiller
-------\Service_usnjsvc
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-02-13 au 2012-03-13 ))))))))))))))))))))))))))))))))))))
.
.
2012-03-13 23:41 . 2012-03-13 23:41 4096 ----a-w- c:\windows\system32\04.tmp
2012-03-13 22:53 . 2012-03-13 22:59 -------- d-----w- C:\Pre_Scan
2012-03-13 22:43 . 2012-03-13 22:43 -------- d-----w- c:\program files\Trend Micro
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-24 18:27 104960 --sh--r- c:\windows\dllmgr.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnumanLive"="c:\documents and settings\DELL\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe" [2008-03-05 348160]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PMX Daemon"="ICO.EXE" [2007-03-08 126976]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-12-18 198160]
"RemoteControl9"="c:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336]
"BDRegion"="c:\program files\Cyberlink\Shared Files\brs.exe" [2009-09-29 75048]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Accélérateur de démarrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]
AutoCAD Startup Accelerator.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]
EPSON Status Monitor 3 Environment Check(2).lnk - c:\windows\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [N/A]
Evo-W542USB.lnk - c:\program files\OvisLink\Evo-W542USB\UI.exe [2011-1-13 2125848]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\PROGRA~1\\FICHIE~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe"= c:\\progra~1\\fichie~1\\instal~1\\update~1\\isuspm.exe
"c:\\WINDOWS\\system32\\netsh.exe"=
"c:\\WINDOWS\\system32\\spider.exe"=
"c:\\PSCRIPT.DLG\\PScript.exe"=
"c:\\Program Files\\ATI Technologies\\ATI.ACE\\CLIStart.exe"=
"c:\\WINDOWS\\system32\\ICO.EXE"=
"c:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe"= c:\\Program Files\\ATI Technologies\\ATI.ACE\\CLI.EXE
"c:\\program files\\fichiers communs\\installshield\\updateservice\\isuspm.exe"=
"c:\\WINDOWS\\system32\\dwwin.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD Cinema\\PowerDVDCinema.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5858:TCP"= 5858:TCP:rqkcikeo
.
R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [17/09/2007 11:42 3456]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/12/18 00:49];c:\program files\CyberLink\PowerDVD9\000.fcl [28/02/2009 19:40 87536]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [07/04/2010 21:07 810120]
R3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [17/01/2008 10:50 18432]
R3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [17/01/2008 10:50 14336]
S2 wkyvm;Monitor Driver;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 12:03 14336]
S3 COH_Mon;COH_Mon;\??\c:\windows\system32\Drivers\COH_Mon.sys --> c:\windows\system32\Drivers\COH_Mon.sys [?]
S3 vcargypr;vcargypr;c:\windows\system32\02.tmp [19/07/2011 20:09 4096]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
wkyvm
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://famous2.topcities.com
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
.
------- Associations de fichier -------
.
inifile=%SystemRoot%\System32\NOTEPAD.EXE %1"
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-Best Uninstaller - c:\program files\Best Uninstaller\BestUninstaller.exe
HKLM-Run-SoundMAXPnP - c:\program files\Analog Devices\Core\smax4pnp.exe
HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre1.5.0_06\bin\jusched.exe
HKLM-Run-RoxioDragToDisc - c:\program files\Roxio\Drag-to-Disc\DrgToDsc.exe
HKLM-Run-PDVDDXSrv - c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
HKLM-Run-ISUSScheduler - c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe
HKLM-Run-DRIVESYS - c:\windows\System32\bycool\winacces.exe
HKLM-Run-DRIVESYS1 - c:\windows\System32\bycool1\windo.exe
HKLM-Run-PDVD9LanguageShortcut - c:\program files\CyberLink\PowerDVD9\Language\Language.exe
HKLM_ActiveSetup-{67KLN5J0-4OPM-01WE-AAX2-5657QCA224112} - c:\dub\WONK\tux.exe
AddRemove-ALCX11 Guide des opér. de base - c:\program files\EPSON\TPMANUAL\ALCX11\PDF\DOCUNINS.EXE
AddRemove-ALCX11 Guide d'utilisation - c:\program files\EPSON\TPMANUAL\ALCX11\REF_G\DOCUNINS.EXE
AddRemove-EPSON Scanner - c:\program files\epson\escndv\setup\setup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-13 23:41
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vcargypr]
"ImagePath"="\??\c:\windows\system32\02.tmp"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wkyvm]
"ServiceDll"="c:\windows\system32\qyqtlof.dll"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3967847080-133602685-1916305819-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(664)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3580)
c:\windows\system32\pmxscrll.dll
c:\windows\system32\PMXCOMM.dll
c:\windows\system32\PMXHOOKS.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\ICO.EXE
c:\program files\ATI Technologies\ATI.ACE\CLI.EXE
c:\windows\system32\Pmxmiced.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wscntfy.exe
c:\program files\ATI Technologies\ATI.ACE\cli.exe
.
**************************************************************************
.
Heure de fin: 2012-03-13 23:44:18 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-03-13 23:44
.
Avant-CF: 127 128 928 256 octets libres
Après-CF: 127 711 031 296 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 09BEDC8EDE8F4DC811BAC24FEEC0DB3B
ComboFix 12-03-13.01 - DELL 13/03/2012 23:36:17.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.990.588 [GMT 0:00]
Lancé depuis: C:\amel.exe
AV: ESET Smart Security 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET Personal firewall *Disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\autorun.inf
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\All Users\Application Data\TEMP\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
C:\DUB
c:\dub\WONK\DesKTop.ini
C:\explorer.exe
C:\info.bat
C:\Jojo.exe
C:\logoneui.exe
c:\oga\RD
c:\oga\RD\DesKTop.ini
c:\oga\RD\GOx.exe
c:\program files\{17350501621331}.exe
c:\program files\Common Files\SysAnti.exe
c:\program files\Explorer.exe
c:\program files\Haihaisoft Universal Player\hmplayer.exe
C:\SysAnti.exe
c:\windows\BackUp
c:\windows\BackUp\autorun.inf
c:\windows\BackUp\explorer.exe
c:\windows\dasetup.log
c:\windows\EventSystem.log
c:\windows\Fonts\aacbq.dll
c:\windows\Fonts\aarcq.dll
c:\windows\Fonts\agssb.dll
c:\windows\Fonts\ahope.dll
c:\windows\Fonts\aimgw.dll
c:\windows\Fonts\ajlnd.dll
c:\windows\Fonts\aqdak.dll
c:\windows\Fonts\arjjo.dll
c:\windows\Fonts\arnsl.dll
c:\windows\Fonts\aubeu.dll
c:\windows\Fonts\augvq.dll
c:\windows\Fonts\auwta.dll
c:\windows\Fonts\avolr.dll
c:\windows\Fonts\bbnua.dll
c:\windows\Fonts\bdsmp.dll
c:\windows\Fonts\beoxg.dll
c:\windows\Fonts\bfbvk.dll
c:\windows\Fonts\bivxm.dll
c:\windows\Fonts\bkpeq.dll
c:\windows\Fonts\bkrug.dll
c:\windows\Fonts\blsmt.dll
c:\windows\Fonts\btlah.dll
c:\windows\Fonts\btmdr.dll
c:\windows\Fonts\btvom.dll
c:\windows\Fonts\busth.dll
c:\windows\Fonts\caqnc.dll
c:\windows\Fonts\chrsx.dll
c:\windows\Fonts\cipoj.dll
c:\windows\Fonts\cjrom.dll
c:\windows\Fonts\cmask.dll
c:\windows\Fonts\cnfvv.dll
c:\windows\Fonts\cqmhm.dll
c:\windows\Fonts\crksq.dll
c:\windows\Fonts\csuvv.dll
c:\windows\Fonts\cvsll.dll
c:\windows\Fonts\cxvqq.dll
c:\windows\Fonts\danjb.dll
c:\windows\Fonts\dcrkp.dll
c:\windows\Fonts\dfwnt.dll
c:\windows\Fonts\dgrpn.dll
c:\windows\Fonts\dielp.dll
c:\windows\Fonts\dnwrq.dll
c:\windows\Fonts\dpxxl.dll
c:\windows\Fonts\eakgq.dll
c:\windows\Fonts\eiawj.dll
c:\windows\Fonts\ekwvi.dll
c:\windows\Fonts\eobuh.dll
c:\windows\Fonts\esthc.dll
c:\windows\Fonts\exbsu.dll
c:\windows\Fonts\fasew.dll
c:\windows\Fonts\fcadu.dll
c:\windows\Fonts\feifa.dll
c:\windows\Fonts\fhudh.dll
c:\windows\Fonts\flkbb.dll
c:\windows\Fonts\fonel.dll
c:\windows\Fonts\fuinn.dll
c:\windows\Fonts\fuxpv.dll
c:\windows\Fonts\gaovn.dll
c:\windows\Fonts\gkprq.dll
c:\windows\Fonts\glbsl.dll
c:\windows\Fonts\gloaq.dll
c:\windows\Fonts\glvin.dll
c:\windows\Fonts\glxeu.dll
c:\windows\Fonts\gpgrl.dll
c:\windows\Fonts\gufch.dll
c:\windows\Fonts\gvhan.dll
c:\windows\Fonts\gxcrp.dll
c:\windows\Fonts\gxcvt.dll
c:\windows\Fonts\hcggo.dll
c:\windows\Fonts\hcinq.dll
c:\windows\Fonts\hhpni.dll
c:\windows\Fonts\hiadr.dll
c:\windows\Fonts\hiawo.dll
c:\windows\Fonts\hicqn.dll
c:\windows\Fonts\hksph.dll
c:\windows\Fonts\hmeuo.dll
c:\windows\Fonts\hnwcm.dll
c:\windows\Fonts\hopsu.dll
c:\windows\Fonts\hsmwq.dll
c:\windows\Fonts\hsnoe.dll
c:\windows\Fonts\htipw.dll
c:\windows\Fonts\huqqc.dll
c:\windows\Fonts\ibdid.dll
c:\windows\Fonts\iclhi.dll
c:\windows\Fonts\iemfm.dll
c:\windows\Fonts\ighno.dll
c:\windows\Fonts\iidhf.dll
c:\windows\Fonts\ikcqd.dll
c:\windows\Fonts\iojkn.dll
c:\windows\Fonts\iopeh.dll
c:\windows\Fonts\iphvr.dll
c:\windows\Fonts\iphxu.dll
c:\windows\Fonts\itdro.dll
c:\windows\Fonts\itrat.dll
c:\windows\Fonts\jelxe.dll
c:\windows\Fonts\jlage.dll
c:\windows\Fonts\jmfha.dll
c:\windows\Fonts\jncxp.dll
c:\windows\Fonts\jrran.dll
c:\windows\Fonts\jscbt.dll
c:\windows\Fonts\jujnr.dll
c:\windows\Fonts\jvpfa.dll
c:\windows\Fonts\kebvh.dll
c:\windows\Fonts\kfjun.dll
c:\windows\Fonts\kgamn.dll
c:\windows\Fonts\kiodw.dll
c:\windows\Fonts\kkfve.dll
c:\windows\Fonts\kmdjo.dll
c:\windows\Fonts\knahu.dll
c:\windows\Fonts\kobwx.dll
c:\windows\Fonts\kvpuu.dll
c:\windows\Fonts\ldgvj.dll
c:\windows\Fonts\lgpss.dll
c:\windows\Fonts\llbwm.dll
c:\windows\Fonts\lorxe.dll
c:\windows\Fonts\lukkk.dll
c:\windows\Fonts\lwhrm.dll
c:\windows\Fonts\mckbc.dll
c:\windows\Fonts\mhida.dll
c:\windows\Fonts\mhoat.dll
c:\windows\Fonts\mnvsh.dll
c:\windows\Fonts\moogb.dll
c:\windows\Fonts\mookc.dll
c:\windows\Fonts\muiiu.dll
c:\windows\Fonts\muocc.dll
c:\windows\Fonts\mwujt.dll
c:\windows\Fonts\mxedo.dll
c:\windows\Fonts\mxwrv.dll
c:\windows\Fonts\nbmeu.dll
c:\windows\Fonts\nciji.dll
c:\windows\Fonts\ncseb.dll
c:\windows\Fonts\nefuk.dll
c:\windows\Fonts\nfcgh.dll
c:\windows\Fonts\niokr.dll
c:\windows\Fonts\nmscd.dll
c:\windows\Fonts\noedt.dll
c:\windows\Fonts\nrajc.dll
c:\windows\Fonts\ntkud.dll
c:\windows\Fonts\ntvkb.dll
c:\windows\Fonts\nufoq.dll
c:\windows\Fonts\nwjiw.dll
c:\windows\Fonts\oauxn.dll
c:\windows\Fonts\ofwrk.dll
c:\windows\Fonts\ogwav.dll
c:\windows\Fonts\okcwj.dll
c:\windows\Fonts\omeci.dll
c:\windows\Fonts\omnun.dll
c:\windows\Fonts\onagx.dll
c:\windows\Fonts\orgvm.dll
c:\windows\Fonts\oxiqa.dll
c:\windows\Fonts\oxsvm.dll
c:\windows\Fonts\pcfxp.dll
c:\windows\Fonts\phrps.dll
c:\windows\Fonts\pmdgc.dll
c:\windows\Fonts\pmlgo.dll
c:\windows\Fonts\ppuvx.dll
c:\windows\Fonts\pskrc.dll
c:\windows\Fonts\pulru.dll
c:\windows\Fonts\punew.dll
c:\windows\Fonts\purud.dll
c:\windows\Fonts\pxaku.dll
c:\windows\Fonts\qbkjg.dll
c:\windows\Fonts\qccqv.dll
c:\windows\Fonts\qcudt.dll
c:\windows\Fonts\qeskc.dll
c:\windows\Fonts\qjckp.dll
c:\windows\Fonts\qmpwr.dll
c:\windows\Fonts\qpdaj.dll
c:\windows\Fonts\qrwvw.dll
c:\windows\Fonts\qtqpg.dll
c:\windows\Fonts\qunqe.dll
c:\windows\Fonts\qwcqc.dll
c:\windows\Fonts\qxrag.dll
c:\windows\Fonts\rbqqs.dll
c:\windows\Fonts\rimbi.dll
c:\windows\Fonts\rmiqi.dll
c:\windows\Fonts\rsuax.dll
c:\windows\Fonts\rtblh.dll
c:\windows\Fonts\rvefe.dll
c:\windows\Fonts\sdsxa.dll
c:\windows\Fonts\sggke.dll
c:\windows\Fonts\sjjbg.dll
c:\windows\Fonts\slbxx.dll
c:\windows\Fonts\swnmu.dll
c:\windows\Fonts\tbdhv.dll
c:\windows\Fonts\thgtp.dll
c:\windows\Fonts\ticbh.dll
c:\windows\Fonts\tkglm.dll
c:\windows\Fonts\tkmcn.dll
c:\windows\Fonts\tnmak.dll
c:\windows\Fonts\tqdbt.dll
c:\windows\Fonts\truxl.dll
c:\windows\Fonts\tutwv.dll
c:\windows\Fonts\twfbv.dll
c:\windows\Fonts\twjfh.dll
c:\windows\Fonts\txwkj.dll
c:\windows\Fonts\udahl.dll
c:\windows\Fonts\uhxaa.dll
c:\windows\Fonts\uilks.dll
c:\windows\Fonts\ukjpq.dll
c:\windows\Fonts\uklos.dll
c:\windows\Fonts\ulfkq.dll
c:\windows\Fonts\ulngq.dll
c:\windows\Fonts\umcfr.dll
c:\windows\Fonts\upnct.dll
c:\windows\Fonts\utfra.dll
c:\windows\Fonts\uulvp.dll
c:\windows\Fonts\vahje.dll
c:\windows\Fonts\valqv.dll
c:\windows\Fonts\venhu.dll
c:\windows\Fonts\vfibd.dll
c:\windows\Fonts\vhsog.dll
c:\windows\Fonts\vjdbt.dll
c:\windows\Fonts\vjgpm.dll
c:\windows\Fonts\vkgfi.dll
c:\windows\Fonts\vlpxd.dll
c:\windows\Fonts\vmahf.dll
c:\windows\Fonts\votbx.dll
c:\windows\Fonts\vpmjs.dll
c:\windows\Fonts\vucug.dll
c:\windows\Fonts\vulwx.dll
c:\windows\Fonts\wbidk.dll
c:\windows\Fonts\wdoum.dll
c:\windows\Fonts\wenpb.dll
c:\windows\Fonts\wfspl.dll
c:\windows\Fonts\wgadf.dll
c:\windows\Fonts\whhrs.dll
c:\windows\Fonts\widdd.dll
c:\windows\Fonts\wqchn.dll
c:\windows\Fonts\wqlaq.dll
c:\windows\Fonts\wqqfm.dll
c:\windows\Fonts\wqutq.dll
c:\windows\Fonts\wtghr.dll
c:\windows\Fonts\wwkrx.dll
c:\windows\Fonts\wxifg.dll
c:\windows\Fonts\xcinu.dll
c:\windows\Fonts\xevfm.dll
c:\windows\Fonts\xgtma.dll
c:\windows\Fonts\xhsgj.dll
c:\windows\Fonts\xhxeg.dll
c:\windows\Fonts\xqbjl.dll
c:\windows\svchost.ini
c:\windows\system32\autorun.ini
c:\windows\system32\boote
c:\windows\system32\boote\boot.ini
c:\windows\system32\bycool
c:\windows\system32\bycool1
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\f
c:\windows\system32\f\d\e\d\h\DELL_01_03_2009_08_15_36\01_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_01_03_2009_08_15_36\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_01_03_2009_09_45_47\01_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_01_03_2009_09_45_47\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_01_03_2009_10_34_35\01_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_01_03_2009_10_34_35\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_01_04_2009_10_26_02\01_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_01_04_2009_10_26_02\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_02_02_2009_11_14_01\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_02_02_2009_12_07_21\02_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_02_02_2009_12_07_21\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_02_02_2009_17_28_35\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_02_03_2009_07_40_30\02_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_02_03_2009_07_40_30\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_02_04_2009_10_09_04\02_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_02_04_2009_10_09_04\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_02_05_2009_09_39_00\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_04_02_2009_08_44_43\04_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_04_02_2009_08_44_43\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_04_03_2009_06_49_27\04_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_04_03_2009_06_49_27\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_04_04_2009_13_16_20\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_05_04_2009_08_31_54\05_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_05_04_2009_08_31_54\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_07_02_2009_15_10_00\07_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_07_02_2009_15_10_00\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_07_03_2009_08_12_24\07_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_07_03_2009_08_12_24\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_08_03_2009_13_17_54\08_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_08_03_2009_13_17_54\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_08_04_2009_11_12_03\08_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_08_04_2009_11_12_03\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_09_05_2009_09_15_49\09_05_2009.K
c:\windows\system32\f\d\e\d\h\DELL_09_05_2009_09_15_49\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_09_05_2009_10_23_34\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_10_03_2009_14_08_50\10_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_10_03_2009_14_08_50\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_10_05_2009_08_53_31\10_05_2009.K
c:\windows\system32\f\d\e\d\h\DELL_10_05_2009_08_53_31\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_11_04_2009_11_34_37\11_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_11_04_2009_11_34_37\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_12_03_2009_14_44_57\12_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_12_03_2009_14_44_57\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_13_04_2009_08_31_07\13_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_13_04_2009_08_31_07\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_14_03_2009_08_41_31\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_14_04_2009_15_23_54\14_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_14_04_2009_15_23_54\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_16_04_2009_09_19_51\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_18_01_2009_10_45_48\18_01_2009.K
c:\windows\system32\f\d\e\d\h\DELL_18_01_2009_10_45_48\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_18_03_2009_09_23_43\18_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_18_03_2009_09_23_43\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_19_01_2009_13_31_03\19_01_2009.K
c:\windows\system32\f\d\e\d\h\DELL_19_01_2009_13_31_03\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_19_03_2009_08_43_07\19_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_19_03_2009_08_43_07\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_19_05_2009_09_53_58\19_05_2009.K
c:\windows\system32\f\d\e\d\h\DELL_19_05_2009_09_53_58\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_20_01_2009_09_13_21\20_01_2009.K
c:\windows\system32\f\d\e\d\h\DELL_20_01_2009_09_13_21\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_21_01_2009_13_28_29\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_21_03_2009_14_59_47\21_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_21_03_2009_14_59_47\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_22_02_2009_09_17_52\22_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_22_02_2009_09_17_52\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_22_02_2009_14_40_59\22_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_22_02_2009_14_40_59\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_22_03_2009_13_45_18\22_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_22_03_2009_13_45_18\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_23_03_2009_08_06_19\23_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_23_03_2009_08_06_19\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_25_02_2009_13_58_45\25_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_25_02_2009_13_58_45\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_25_02_2009_16_31_40\25_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_25_02_2009_16_31_40\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_25_02_2009_19_07_41\25_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_25_02_2009_19_07_41\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_25_03_2009_12_12_35\25_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_25_03_2009_12_12_35\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_26_02_2009_09_26_50\26_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_26_02_2009_09_26_50\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_26_04_2009_10_16_40\26_04_2009.K
c:\windows\system32\f\d\e\d\h\DELL_26_04_2009_10_16_40\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_28_02_2009_14_21_20\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_28_02_2009_14_46_16\28_02_2009.K
c:\windows\system32\f\d\e\d\h\DELL_28_02_2009_14_46_16\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_29_01_2009_16_00_46\29_01_2009.K
c:\windows\system32\f\d\e\d\h\DELL_29_01_2009_16_00_46\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_30_03_2009_11_31_26\30_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_30_03_2009_11_31_26\comp.rar
c:\windows\system32\f\d\e\d\h\DELL_31_03_2009_09_34_09\31_03_2009.K
c:\windows\system32\f\d\e\d\h\DELL_31_03_2009_09_34_09\comp.rar
c:\windows\system32\logoneui.exe
c:\windows\Web\connection.dat
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_DRVKILLER
-------\Service_abp470n5
-------\Service_DrvKiller
-------\Service_usnjsvc
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-02-13 au 2012-03-13 ))))))))))))))))))))))))))))))))))))
.
.
2012-03-13 23:41 . 2012-03-13 23:41 4096 ----a-w- c:\windows\system32\04.tmp
2012-03-13 22:53 . 2012-03-13 22:59 -------- d-----w- C:\Pre_Scan
2012-03-13 22:43 . 2012-03-13 22:43 -------- d-----w- c:\program files\Trend Micro
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-24 18:27 104960 --sh--r- c:\windows\dllmgr.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnumanLive"="c:\documents and settings\DELL\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe" [2008-03-05 348160]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PMX Daemon"="ICO.EXE" [2007-03-08 126976]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-12-18 198160]
"RemoteControl9"="c:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336]
"BDRegion"="c:\program files\Cyberlink\Shared Files\brs.exe" [2009-09-29 75048]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Accélérateur de démarrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]
AutoCAD Startup Accelerator.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]
EPSON Status Monitor 3 Environment Check(2).lnk - c:\windows\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [N/A]
Evo-W542USB.lnk - c:\program files\OvisLink\Evo-W542USB\UI.exe [2011-1-13 2125848]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\PROGRA~1\\FICHIE~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe"= c:\\progra~1\\fichie~1\\instal~1\\update~1\\isuspm.exe
"c:\\WINDOWS\\system32\\netsh.exe"=
"c:\\WINDOWS\\system32\\spider.exe"=
"c:\\PSCRIPT.DLG\\PScript.exe"=
"c:\\Program Files\\ATI Technologies\\ATI.ACE\\CLIStart.exe"=
"c:\\WINDOWS\\system32\\ICO.EXE"=
"c:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe"= c:\\Program Files\\ATI Technologies\\ATI.ACE\\CLI.EXE
"c:\\program files\\fichiers communs\\installshield\\updateservice\\isuspm.exe"=
"c:\\WINDOWS\\system32\\dwwin.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD Cinema\\PowerDVDCinema.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5858:TCP"= 5858:TCP:rqkcikeo
.
R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [17/09/2007 11:42 3456]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/12/18 00:49];c:\program files\CyberLink\PowerDVD9\000.fcl [28/02/2009 19:40 87536]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [07/04/2010 21:07 810120]
R3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [17/01/2008 10:50 18432]
R3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [17/01/2008 10:50 14336]
S2 wkyvm;Monitor Driver;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 12:03 14336]
S3 COH_Mon;COH_Mon;\??\c:\windows\system32\Drivers\COH_Mon.sys --> c:\windows\system32\Drivers\COH_Mon.sys [?]
S3 vcargypr;vcargypr;c:\windows\system32\02.tmp [19/07/2011 20:09 4096]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
wkyvm
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://famous2.topcities.com
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
.
------- Associations de fichier -------
.
inifile=%SystemRoot%\System32\NOTEPAD.EXE %1"
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-Best Uninstaller - c:\program files\Best Uninstaller\BestUninstaller.exe
HKLM-Run-SoundMAXPnP - c:\program files\Analog Devices\Core\smax4pnp.exe
HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre1.5.0_06\bin\jusched.exe
HKLM-Run-RoxioDragToDisc - c:\program files\Roxio\Drag-to-Disc\DrgToDsc.exe
HKLM-Run-PDVDDXSrv - c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
HKLM-Run-ISUSScheduler - c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe
HKLM-Run-DRIVESYS - c:\windows\System32\bycool\winacces.exe
HKLM-Run-DRIVESYS1 - c:\windows\System32\bycool1\windo.exe
HKLM-Run-PDVD9LanguageShortcut - c:\program files\CyberLink\PowerDVD9\Language\Language.exe
HKLM_ActiveSetup-{67KLN5J0-4OPM-01WE-AAX2-5657QCA224112} - c:\dub\WONK\tux.exe
AddRemove-ALCX11 Guide des opér. de base - c:\program files\EPSON\TPMANUAL\ALCX11\PDF\DOCUNINS.EXE
AddRemove-ALCX11 Guide d'utilisation - c:\program files\EPSON\TPMANUAL\ALCX11\REF_G\DOCUNINS.EXE
AddRemove-EPSON Scanner - c:\program files\epson\escndv\setup\setup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-13 23:41
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vcargypr]
"ImagePath"="\??\c:\windows\system32\02.tmp"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wkyvm]
"ServiceDll"="c:\windows\system32\qyqtlof.dll"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3967847080-133602685-1916305819-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(664)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3580)
c:\windows\system32\pmxscrll.dll
c:\windows\system32\PMXCOMM.dll
c:\windows\system32\PMXHOOKS.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\ICO.EXE
c:\program files\ATI Technologies\ATI.ACE\CLI.EXE
c:\windows\system32\Pmxmiced.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wscntfy.exe
c:\program files\ATI Technologies\ATI.ACE\cli.exe
.
**************************************************************************
.
Heure de fin: 2012-03-13 23:44:18 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-03-13 23:44
.
Avant-CF: 127 128 928 256 octets libres
Après-CF: 127 711 031 296 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 09BEDC8EDE8F4DC811BAC24FEEC0DB3B
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
14 mars 2012 à 05:47
14 mars 2012 à 05:47
joli aussi ... ^^
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
File::
c:\windows\system32\02.tmp
c:\windows\system32\qyqtlof.dll
Registry::
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5858:TCP"=-
Driver::
vcargypr
NetSvc::
wkyvm
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
File::
c:\windows\system32\02.tmp
c:\windows\system32\qyqtlof.dll
Registry::
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5858:TCP"=-
Driver::
vcargypr
NetSvc::
wkyvm
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
amelo101
Messages postés
53
Date d'inscription
mardi 8 juin 2010
Statut
Membre
Dernière intervention
14 mars 2012
14 mars 2012 à 18:52
14 mars 2012 à 18:52
bonjour j'ai suivé tout les étapes est voici le résultat:
ComboFix 12-03-13.01 - DELL 14/03/2012 18:35:22.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.990.497 [GMT 0:00]
Lancé depuis: c:\documents and settings\DELL\Bureau\amel.exe
Commutateurs utilisés :: c:\documents and settings\DELL\Bureau\CFScript.txt
AV: ESET Smart Security 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET Personal firewall *Disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
.
FILE ::
"c:\windows\system32\02.tmp"
"c:\windows\system32\qyqtlof.dll"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\02.tmp
c:\windows\system32\qyqtlof.dll
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_vcargypr
-------\Legacy_wkyvm
-------\Service_wkyvm
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-02-14 au 2012-03-14 ))))))))))))))))))))))))))))))))))))
.
.
2012-03-13 23:30 . 2012-03-13 23:44 -------- d-----w- C:\amel
2012-03-13 22:53 . 2012-03-13 22:59 -------- d-----w- C:\Pre_Scan
2012-03-13 22:43 . 2012-03-13 22:43 -------- d-----w- c:\program files\Trend Micro
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-24 18:27 104960 --sh--r- c:\windows\dllmgr.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnumanLive"="c:\documents and settings\DELL\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe" [2008-03-05 348160]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PMX Daemon"="ICO.EXE" [2007-03-08 126976]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-12-18 198160]
"RemoteControl9"="c:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336]
"BDRegion"="c:\program files\Cyberlink\Shared Files\brs.exe" [2009-09-29 75048]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Accélérateur de démarrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]
AutoCAD Startup Accelerator.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]
EPSON Status Monitor 3 Environment Check(2).lnk - c:\windows\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [N/A]
Evo-W542USB.lnk - c:\program files\OvisLink\Evo-W542USB\UI.exe [2011-1-13 2125848]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\PROGRA~1\\FICHIE~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe"= c:\\progra~1\\fichie~1\\instal~1\\update~1\\isuspm.exe
"c:\\WINDOWS\\system32\\netsh.exe"=
"c:\\WINDOWS\\system32\\spider.exe"=
"c:\\PSCRIPT.DLG\\PScript.exe"=
"c:\\Program Files\\ATI Technologies\\ATI.ACE\\CLIStart.exe"=
"c:\\WINDOWS\\system32\\ICO.EXE"=
"c:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe"= c:\\Program Files\\ATI Technologies\\ATI.ACE\\CLI.EXE
"c:\\program files\\fichiers communs\\installshield\\updateservice\\isuspm.exe"=
"c:\\WINDOWS\\system32\\dwwin.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD Cinema\\PowerDVDCinema.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5858:TCP"= 5858:TCP:rqkcikeo
.
R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [17/09/2007 11:42 3456]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/12/18 00:49];c:\program files\CyberLink\PowerDVD9\000.fcl [28/02/2009 19:40 87536]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [07/04/2010 21:07 810120]
R3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [17/01/2008 10:50 18432]
R3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [17/01/2008 10:50 14336]
S2 wkyvm;Monitor Driver;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 12:03 14336]
S3 COH_Mon;COH_Mon;\??\c:\windows\system32\Drivers\COH_Mon.sys --> c:\windows\system32\Drivers\COH_Mon.sys [?]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://famous2.topcities.com
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-14 18:41
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wkyvm]
"ServiceDll"="c:\windows\system32\qyqtlof.dll"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3967847080-133602685-1916305819-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(664)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\midimap.dll
.
- - - - - - - > 'explorer.exe'(3056)
c:\windows\system32\pmxscrll.dll
c:\windows\system32\PMXCOMM.dll
c:\windows\system32\PMXHOOKS.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wscntfy.exe
c:\windows\system32\ICO.EXE
c:\windows\system32\Pmxmiced.exe
c:\program files\ATI Technologies\ATI.ACE\CLI.EXE
c:\windows\system32\msiexec.exe
c:\program files\ATI Technologies\ATI.ACE\cli.exe
.
**************************************************************************
.
Heure de fin: 2012-03-14 18:44:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-03-14 18:44
.
Avant-CF: 127 706 669 056 octets libres
Après-CF: 127 673 688 064 octets libres
.
- - End Of File - - 83EC60B027F5BBA07AD55915B30B0FB2
ComboFix 12-03-13.01 - DELL 14/03/2012 18:35:22.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.990.497 [GMT 0:00]
Lancé depuis: c:\documents and settings\DELL\Bureau\amel.exe
Commutateurs utilisés :: c:\documents and settings\DELL\Bureau\CFScript.txt
AV: ESET Smart Security 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET Personal firewall *Disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
.
FILE ::
"c:\windows\system32\02.tmp"
"c:\windows\system32\qyqtlof.dll"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\02.tmp
c:\windows\system32\qyqtlof.dll
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_vcargypr
-------\Legacy_wkyvm
-------\Service_wkyvm
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-02-14 au 2012-03-14 ))))))))))))))))))))))))))))))))))))
.
.
2012-03-13 23:30 . 2012-03-13 23:44 -------- d-----w- C:\amel
2012-03-13 22:53 . 2012-03-13 22:59 -------- d-----w- C:\Pre_Scan
2012-03-13 22:43 . 2012-03-13 22:43 -------- d-----w- c:\program files\Trend Micro
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-24 18:27 104960 --sh--r- c:\windows\dllmgr.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnumanLive"="c:\documents and settings\DELL\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe" [2008-03-05 348160]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PMX Daemon"="ICO.EXE" [2007-03-08 126976]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-12-18 198160]
"RemoteControl9"="c:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336]
"BDRegion"="c:\program files\Cyberlink\Shared Files\brs.exe" [2009-09-29 75048]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Accélérateur de démarrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]
AutoCAD Startup Accelerator.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]
EPSON Status Monitor 3 Environment Check(2).lnk - c:\windows\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [N/A]
Evo-W542USB.lnk - c:\program files\OvisLink\Evo-W542USB\UI.exe [2011-1-13 2125848]
.
c:\documents and settings\DELL\Menu Démarrer\Programmes\Démarrage\
PS.lnk - c:\pscript.dlg\PScript.exe [2008-10-27 875008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\PROGRA~1\\FICHIE~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe"= c:\\progra~1\\fichie~1\\instal~1\\update~1\\isuspm.exe
"c:\\WINDOWS\\system32\\netsh.exe"=
"c:\\WINDOWS\\system32\\spider.exe"=
"c:\\PSCRIPT.DLG\\PScript.exe"=
"c:\\Program Files\\ATI Technologies\\ATI.ACE\\CLIStart.exe"=
"c:\\WINDOWS\\system32\\ICO.EXE"=
"c:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe"= c:\\Program Files\\ATI Technologies\\ATI.ACE\\CLI.EXE
"c:\\program files\\fichiers communs\\installshield\\updateservice\\isuspm.exe"=
"c:\\WINDOWS\\system32\\dwwin.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD Cinema\\PowerDVDCinema.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5858:TCP"= 5858:TCP:rqkcikeo
.
R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [17/09/2007 11:42 3456]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/12/18 00:49];c:\program files\CyberLink\PowerDVD9\000.fcl [28/02/2009 19:40 87536]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [07/04/2010 21:07 810120]
R3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [17/01/2008 10:50 18432]
R3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [17/01/2008 10:50 14336]
S2 wkyvm;Monitor Driver;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 12:03 14336]
S3 COH_Mon;COH_Mon;\??\c:\windows\system32\Drivers\COH_Mon.sys --> c:\windows\system32\Drivers\COH_Mon.sys [?]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://famous2.topcities.com
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-14 18:41
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wkyvm]
"ServiceDll"="c:\windows\system32\qyqtlof.dll"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3967847080-133602685-1916305819-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(664)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\midimap.dll
.
- - - - - - - > 'explorer.exe'(3056)
c:\windows\system32\pmxscrll.dll
c:\windows\system32\PMXCOMM.dll
c:\windows\system32\PMXHOOKS.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wscntfy.exe
c:\windows\system32\ICO.EXE
c:\windows\system32\Pmxmiced.exe
c:\program files\ATI Technologies\ATI.ACE\CLI.EXE
c:\windows\system32\msiexec.exe
c:\program files\ATI Technologies\ATI.ACE\cli.exe
.
**************************************************************************
.
Heure de fin: 2012-03-14 18:44:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-03-14 18:44
.
Avant-CF: 127 706 669 056 octets libres
Après-CF: 127 673 688 064 octets libres
.
- - End Of File - - 83EC60B027F5BBA07AD55915B30B0FB2
Utilisateur anonyme
14 mars 2012 à 15:31
14 mars 2012 à 15:31
Pense à la fin mettre à jour eset en v5 : https://www.eset.com/fr/home/products/smart-security/
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
14 mars 2012 à 19:03
14 mars 2012 à 19:03
Salut :)
ça te dit quelque chose ça ?
c:\pscript.dlg\PScript.exe
~~
▶ Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.
▶ Télécharge OTM (OldTimer) sur ton Bureau :
▶ Double-clique sur OTM.exe afin de le lancer.
▶ Copie (Ctrl+C) le texte suivant ci-dessous :
:files
c:\windows\system32\qyqtlof.dll
:Services
ServiceDll
:commands
[emptytemp]
▶ Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
▶ Clique maintenant sur le bouton MoveIt! puis ferme OTM
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
▶ Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
*Le nom du rapport correspond au moment de sa création : date_heure.log
ça te dit quelque chose ça ?
c:\pscript.dlg\PScript.exe
~~
▶ Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.
▶ Télécharge OTM (OldTimer) sur ton Bureau :
▶ Double-clique sur OTM.exe afin de le lancer.
▶ Copie (Ctrl+C) le texte suivant ci-dessous :
:files
c:\windows\system32\qyqtlof.dll
:Services
ServiceDll
:commands
[emptytemp]
▶ Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
▶ Clique maintenant sur le bouton MoveIt! puis ferme OTM
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
▶ Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
*Le nom du rapport correspond au moment de sa création : date_heure.log
amelo101
Messages postés
53
Date d'inscription
mardi 8 juin 2010
Statut
Membre
Dernière intervention
14 mars 2012
14 mars 2012 à 20:02
14 mars 2012 à 20:02
voici le rapport:
All processes killed
========== FILES ==========
File/Folder c:\windows\system32\qyqtlof.dll not found.
========== SERVICES/DRIVERS ==========
Error: No service named ServiceDll was found to stop!
Service\Driver key ServiceDll not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
User: DELL
->Temp folder emptied: 1434 bytes
->Temporary Internet Files folder emptied: 6219659 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 2865 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 11264 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 478 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 6,00 mb
OTM by OldTimer - Version 3.1.19.0 log created on 03142012_195523
Files moved on Reboot...
Registry entries deleted on Reboot...
All processes killed
========== FILES ==========
File/Folder c:\windows\system32\qyqtlof.dll not found.
========== SERVICES/DRIVERS ==========
Error: No service named ServiceDll was found to stop!
Service\Driver key ServiceDll not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
User: DELL
->Temp folder emptied: 1434 bytes
->Temporary Internet Files folder emptied: 6219659 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 2865 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 11264 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 478 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 6,00 mb
OTM by OldTimer - Version 3.1.19.0 log created on 03142012_195523
Files moved on Reboot...
Registry entries deleted on Reboot...
amelo101
Messages postés
53
Date d'inscription
mardi 8 juin 2010
Statut
Membre
Dernière intervention
14 mars 2012
14 mars 2012 à 21:33
14 mars 2012 à 21:33
non rie ndu tout
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
15 mars 2012 à 05:52
15 mars 2012 à 05:52
envoie le sur virustotal alors : https://www.virustotal.com/gui/
Colle le lien une fois l'analyse finie.
Colle le lien une fois l'analyse finie.
