Virus ^^e et pc qui ne s'éteint pas
Fermé
Tamarin
Messages postés
135
Statut
Membre
-
Tamarin Messages postés 135 Statut Membre -
Tamarin Messages postés 135 Statut Membre -
Bonjour,
Depuis quelques semaines, j'ai un problème avec les accents circonflexes. Chaque fois que je tape ^ puis e ça me donne ^^e au lieu de ê et ce, avec toutes les voyelles quelque soit le "support" utilisé (mozilla, word, outlook, msn, etc.).
Enfin, depuis quelques jours, mon pc ne s'éteint plus quand j'arr^^ete le système donc je dois forcer l'extinction en appuyant manuellement sur le bouton.
Quelqu'un aurait une idée pour résoudre le problème?
Merci par avance.
Depuis quelques semaines, j'ai un problème avec les accents circonflexes. Chaque fois que je tape ^ puis e ça me donne ^^e au lieu de ê et ce, avec toutes les voyelles quelque soit le "support" utilisé (mozilla, word, outlook, msn, etc.).
Enfin, depuis quelques jours, mon pc ne s'éteint plus quand j'arr^^ete le système donc je dois forcer l'extinction en appuyant manuellement sur le bouton.
Quelqu'un aurait une idée pour résoudre le problème?
Merci par avance.
A voir également:
- Virus ^^e et pc qui ne s'éteint pas
- Pc qui rame - Guide
- Reinitialiser pc - Guide
- Mon pc s'allume mais ne démarre pas windows 10 - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Double ecran pc - Guide
11 réponses
salut
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan
Je n'arrive pas à effectuer le scan, que ce soit avec l'extension .exe ou .pif, le scan bloque à l'étape "extentions firefox]" et ne fait plus rien. J'ai essayé plusieurs fois et toujours pareil. De plus, après avoir forcé l'arrêt du pc, mon fond d'écran a disparu pour être remplacé par un fond blanc avec un signe attention et un message me parlant de récupération d'active desktop. Je ne connaissais pas ce type de message d'alerte.
On peut noter que malgré tout ça, je peux maintenant taper ê sans problème mais je ne sais pas si mon pc est bien propre.
Je souhaiterais aussi trouver le moyen de bloquer toutes le publicités (genre sur youtube, etc.) mais pour celà, je ferais peut-être mieux de créer un autre sujet plus tard.
Merci pour ton aide en tout cas.
On peut noter que malgré tout ça, je peux maintenant taper ê sans problème mais je ne sais pas si mon pc est bien propre.
Je souhaiterais aussi trouver le moyen de bloquer toutes le publicités (genre sur youtube, etc.) mais pour celà, je ferais peut-être mieux de créer un autre sujet plus tard.
Merci pour ton aide en tout cas.
on parie que t'as un proxy sur firefox ? ^^
=====
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur
clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
=====
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur
clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Mon ordi étant professionel, il m'était impossible de désactiver l'antivirus étant actif au moment du scan...
Voici le rapport combofix :
ComboFix 12-07-05.04 - dapi 05/07/2012 23:07:32.1.4 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3241.2554 [GMT 2:00]
Lancé depuis: c:\documents and settings\dapi\Bureau\damnshit.exe
AV: Antivirus Trend Micro OfficeScan *Enabled/Updated* {643550F4-314D-482B-A0E8-EAE05CB270D3}
* Un antivirus résident est actif
.
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\adminlybr\WINDOWS
c:\documents and settings\dapi\Application Data\Usoct
c:\documents and settings\dapi\Application Data\Usoct\biba.oly
c:\windows\system32\instsrv.exe
c:\windows\system32\SETC3.tmp
c:\windows\system32\SETC7.tmp
c:\windows\system32\SETCF.tmp
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-05 au 2012-07-05 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-03 18:10 . 2012-08-03 18:10 -------- d-----w- c:\documents and settings\dapi\Local Settings\Application Data\Temp
2012-08-03 16:50 . 2012-08-03 16:50 -------- d-sh--w- c:\documents and settings\dapi\PrivacIE
2012-08-03 16:47 . 2012-08-03 16:47 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2012-08-03 16:46 . 2012-08-03 16:46 -------- d-sh--w- c:\documents and settings\dapi\IETldCache
2012-08-03 16:43 . 2012-08-03 16:43 -------- d-----w- c:\program files\Fichiers communs\Java
2012-08-03 16:43 . 2012-08-03 16:42 772592 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-08-03 16:39 . 2012-08-03 16:41 -------- dc-h--w- c:\windows\ie8
2012-08-03 16:32 . 2012-08-03 16:33 -------- d-----w- c:\program files\Fichiers communs\Adobe
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\documents and settings\dapi\Application Data\pdfforge
2012-08-03 16:28 . 2004-03-08 23:00 662288 ----a-w- c:\windows\system32\MSCOMCT2.OCX
2012-08-03 16:28 . 1998-06-23 23:00 137000 ----a-w- c:\windows\system32\MSMAPI32.OCX
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\program files\PDFCreator
2012-08-03 16:28 . 1998-07-13 00:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
2012-08-03 16:28 . 1998-07-13 00:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2012-08-03 16:28 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Premium
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\documents and settings\All Users\Application Data\InstallMate
2012-08-03 16:22 . 2012-08-03 16:22 -------- d-----w- c:\program files\FileHippo.com
2012-08-03 13:19 . 2012-08-03 17:09 -------- d-----w- C:\Pre_Scan
2012-07-31 13:00 . 2012-07-31 13:00 -------- d-----r- c:\documents and settings\dapi\Application Data\Brother
2012-06-20 13:52 . 2012-06-20 13:52 -------- d-----w- c:\documents and settings\dapi\Application Data\Zacog
2012-06-20 13:52 . 2012-06-20 13:52 -------- d-----w- c:\documents and settings\dapi\Application Data\Yfodak
2012-06-18 17:08 . 2012-06-18 17:08 -------- d-----w- c:\program files\uTorrent
2012-06-18 17:05 . 2012-06-20 17:20 -------- d-----w- c:\documents and settings\dapi\Application Data\uTorrent
2012-06-14 21:14 . 2012-08-03 19:48 -------- d-----w- c:\documents and settings\dapi\Application Data\Zoiluf
2012-06-14 21:14 . 2012-08-03 19:18 -------- d-----w- c:\documents and settings\dapi\Application Data\Nouzod
2012-06-14 21:14 . 2012-06-14 21:14 -------- d-----w- c:\documents and settings\dapi\Application Data\Ilov
2012-06-12 09:30 . 2012-06-12 09:30 -------- d-----w- c:\program files\Broadcom
2012-06-12 09:28 . 2012-06-12 09:28 -------- d-----w- c:\documents and settings\dapi\Local Settings\Application Data\Downloaded Installations
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-03 16:42 . 2012-02-28 08:44 143872 ----a-w- c:\windows\system32\javacpl.cpl
2012-08-03 16:42 . 2012-02-27 13:10 687600 ----a-w- c:\windows\system32\deployJava1.dll
2012-08-03 16:37 . 2012-05-23 07:35 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-03 16:37 . 2011-12-28 12:49 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-25 18:34 . 2012-01-10 16:29 102400 ----a-w- c:\windows\RegBootClean.exe
2012-06-15 04:51 . 2012-05-23 09:10 81408 ----a-w- c:\windows\system32\pdfcmon.dll
2012-05-05 12:44 . 2011-12-28 16:04 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
1997-07-22 03:30 1045776 --sha-w- c:\windows\system32\Msjet35.dll
1997-06-23 11:00 123664 --sha-w- c:\windows\system32\Msjint35.dll
1997-06-23 20:06 24848 --sha-w- c:\windows\system32\Msjter35.dll
1997-06-23 20:06 252176 --sha-w- c:\windows\system32\Msrd2x35.dll
1997-06-23 20:06 287504 --sha-w- c:\windows\system32\Msxbse35.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-08-06 . 081C380A75934AF96C9CE04C2DB379F6 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2011-01-04 488816]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2011-01-24 536668]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-07-07 737280]
"IntelZeroConfig"="c:\program files\Intel\WiFi\bin\ZCfgSvc.exe" [2011-01-12 1403152]
"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2011-01-05 1210640]
"FreeFallProtection"="c:\program files\STMicroelectronics\AccelerometerP11\FF_Protection.exe" [2011-02-15 686704]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2010-11-02 866592]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-09-16 142616]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-09-16 183576]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-09-16 167704]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="c:\program files\Brother\Brmfl06a\BrStDvPt.exe" [2005-01-26 49152]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\dapi\Menu Démarrer\Programmes\Démarrage\
Stickies.lnk - c:\program files\Stickies\stickies.exe [2011-12-28 1130496]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"consentpromptbehavioradmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"SoftwareSASGeneration"= 3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoAutorun"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1129\Scripts\Logon\0\0]
"Script"=Deploy_Office_2007.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1129\Scripts\Logon\1\0]
"Script"=GlobalLogonScript.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1129\Scripts\Logon\2\0]
"Script"=%windir%\regedit.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1332\Scripts\Logon\0\0]
"Script"=Deploy_Office_2007.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1332\Scripts\Logon\1\0]
"Script"=GlobalLogonScript.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1332\Scripts\Logon\2\0]
"Script"=%windir%\regedit.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrMfcWnd]
2006-06-28 05:46 622592 ------w- c:\program files\Brother\Brmfcmon\BrMfcWnd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter3]
2006-06-29 10:18 77824 ----a-w- c:\program files\Brother\ControlCenter3\BrCtrCen.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaSuite.exe]
2011-11-01 14:40 1053056 ----a-w- c:\program files\Nokia\Nokia Suite\NokiaSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2005-03-17 17:17 57393 ----a-w- c:\program files\ScanSoft\PaperPort\pptd40nt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"20536:TCP"= 20536:TCP:Trend Micro OfficeScan Listener
.
R0 stdcfltn;Disk Class Filter Driver for Accelerometer;c:\windows\system32\drivers\stdcfltn.sys [24/06/2011 12:01 17648]
R2 BrcmMgmtAgent;Broadcom Management Agent;c:\program files\Broadcom\MgmtAgent\BrcmMgmtAgent.exe [29/06/2010 16:11 127488]
R2 OCS Inventory Service;OCS Inventory Service;c:\program files\OCS Inventory Agent\OcsService.exe [08/05/2011 17:17 35840]
R2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [23/12/2011 15:02 52304]
R2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXpflt.sys [12/07/2011 10:44 262416]
R2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\TmPreflt.sys [12/07/2011 10:43 36624]
R2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [23/06/2011 16:48 2656280]
R3 Acceler;Accelerometer Service;c:\windows\system32\drivers\Accelern.sys [24/06/2011 12:01 43888]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [23/06/2011 16:48 113664]
R3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\drivers\IntcDAud.sys [23/06/2011 16:58 260864]
R3 MEI;Intel(R) Management Engine Interface;c:\windows\system32\drivers\HECI.sys [23/06/2011 16:48 41088]
R3 NETwNx32;___ Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows XP 32 bits ;c:\windows\system32\drivers\NETwNx32.sys [24/06/2011 11:57 7391744]
R3 O2MDRRDR;O2MDRRDR;c:\windows\system32\drivers\o2mdrxp.sys [24/06/2011 11:51 61728]
R3 O2SDJRDR;O2SDJRDR;c:\windows\system32\drivers\o2sdjxp.sys [24/06/2011 11:51 63976]
S2 O2SDIOAssist;O2SDIOAssist;c:\windows\system32\srvany.exe [24/06/2011 11:51 8192]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [28/04/2012 17:08 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [28/04/2012 17:06 51968]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [05/05/2012 14:44 129976]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [24/02/2012 16:12 137472]
S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;c:\oracle\Ora81\bin\ONRSD.EXE [25/01/2000 18:00 408568]
S3 TmProxy;OfficeScan NT Proxy Service;c:\program files\Trend Micro\OfficeScan Client\TmProxy.exe [15/07/2009 17:37 689416]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - BASFND
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: s2gs.lille
Trusted Zone: s2gs.lyon
Trusted Zone: s2gs.marseille
Trusted Zone: servsites
Trusted Zone: sites.fr
Trusted Zone: sites.fr\s2gs
Trusted Zone: sites.fr\s2gs.lyon-admin
Trusted Zone: sites.fr\s2gs.lyon-muguet
Trusted Zone: sites.fr\s2gs.nord
Trusted Zone: sites.fr\s2gs.paca
Trusted Zone: sites.fr\s2gs.ra
Trusted Zone: sites.fr\s2gs.rueil
Trusted Zone: sites.fr\webmail
Trusted Zone: s2gs.lille
Trusted Zone: s2gs.lyon
Trusted Zone: s2gs.marseille
Trusted Zone: servsites
Trusted Zone: sites.fr
Trusted Zone: sites.fr\s2gs
Trusted Zone: sites.fr\s2gs.lyon-admin
Trusted Zone: sites.fr\s2gs.lyon-muguet
Trusted Zone: sites.fr\s2gs.nord
Trusted Zone: sites.fr\s2gs.paca
Trusted Zone: sites.fr\s2gs.ra
Trusted Zone: sites.fr\s2gs.rueil
Trusted Zone: sites.fr\webmail
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
DPF: {31E2441C-E533-45CA-A85B-C9A3C3B89A67} - hxxp://s2gs.lyon-muguet.sites.fr/deploy_active/imputation.CAB
DPF: {36073603-A883-4A94-B4C4-9A680C608344} - hxxp://s2gs.lyon-admin.sites.fr/deploy_active/imputation.CAB
DPF: {4B1EC5E3-BD1F-40D6-8B66-37C4B13C6E3F} - hxxp://s2gs.lyon-muguet.sites.fr/deploy_active/imputation.CAB
FF - ProfilePath - c:\documents and settings\dapi\Application Data\Mozilla\Firefox\Profiles\o0y736a8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-05 23:11
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(948)
c:\windows\system32\igfxdev.dll
.
Heure de fin: 2012-07-05 23:13:14
ComboFix-quarantined-files.txt 2012-07-05 21:13
.
Avant-CF: 238 616 231 936 octets libres
Après-CF: 238 673 133 568 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 0996B4CDDB60D80455F24087C978AC1C
Voici le rapport combofix :
ComboFix 12-07-05.04 - dapi 05/07/2012 23:07:32.1.4 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3241.2554 [GMT 2:00]
Lancé depuis: c:\documents and settings\dapi\Bureau\damnshit.exe
AV: Antivirus Trend Micro OfficeScan *Enabled/Updated* {643550F4-314D-482B-A0E8-EAE05CB270D3}
* Un antivirus résident est actif
.
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\adminlybr\WINDOWS
c:\documents and settings\dapi\Application Data\Usoct
c:\documents and settings\dapi\Application Data\Usoct\biba.oly
c:\windows\system32\instsrv.exe
c:\windows\system32\SETC3.tmp
c:\windows\system32\SETC7.tmp
c:\windows\system32\SETCF.tmp
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-05 au 2012-07-05 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-03 18:10 . 2012-08-03 18:10 -------- d-----w- c:\documents and settings\dapi\Local Settings\Application Data\Temp
2012-08-03 16:50 . 2012-08-03 16:50 -------- d-sh--w- c:\documents and settings\dapi\PrivacIE
2012-08-03 16:47 . 2012-08-03 16:47 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2012-08-03 16:46 . 2012-08-03 16:46 -------- d-sh--w- c:\documents and settings\dapi\IETldCache
2012-08-03 16:43 . 2012-08-03 16:43 -------- d-----w- c:\program files\Fichiers communs\Java
2012-08-03 16:43 . 2012-08-03 16:42 772592 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-08-03 16:39 . 2012-08-03 16:41 -------- dc-h--w- c:\windows\ie8
2012-08-03 16:32 . 2012-08-03 16:33 -------- d-----w- c:\program files\Fichiers communs\Adobe
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\documents and settings\dapi\Application Data\pdfforge
2012-08-03 16:28 . 2004-03-08 23:00 662288 ----a-w- c:\windows\system32\MSCOMCT2.OCX
2012-08-03 16:28 . 1998-06-23 23:00 137000 ----a-w- c:\windows\system32\MSMAPI32.OCX
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\program files\PDFCreator
2012-08-03 16:28 . 1998-07-13 00:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
2012-08-03 16:28 . 1998-07-13 00:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2012-08-03 16:28 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Premium
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\documents and settings\All Users\Application Data\InstallMate
2012-08-03 16:22 . 2012-08-03 16:22 -------- d-----w- c:\program files\FileHippo.com
2012-08-03 13:19 . 2012-08-03 17:09 -------- d-----w- C:\Pre_Scan
2012-07-31 13:00 . 2012-07-31 13:00 -------- d-----r- c:\documents and settings\dapi\Application Data\Brother
2012-06-20 13:52 . 2012-06-20 13:52 -------- d-----w- c:\documents and settings\dapi\Application Data\Zacog
2012-06-20 13:52 . 2012-06-20 13:52 -------- d-----w- c:\documents and settings\dapi\Application Data\Yfodak
2012-06-18 17:08 . 2012-06-18 17:08 -------- d-----w- c:\program files\uTorrent
2012-06-18 17:05 . 2012-06-20 17:20 -------- d-----w- c:\documents and settings\dapi\Application Data\uTorrent
2012-06-14 21:14 . 2012-08-03 19:48 -------- d-----w- c:\documents and settings\dapi\Application Data\Zoiluf
2012-06-14 21:14 . 2012-08-03 19:18 -------- d-----w- c:\documents and settings\dapi\Application Data\Nouzod
2012-06-14 21:14 . 2012-06-14 21:14 -------- d-----w- c:\documents and settings\dapi\Application Data\Ilov
2012-06-12 09:30 . 2012-06-12 09:30 -------- d-----w- c:\program files\Broadcom
2012-06-12 09:28 . 2012-06-12 09:28 -------- d-----w- c:\documents and settings\dapi\Local Settings\Application Data\Downloaded Installations
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-03 16:42 . 2012-02-28 08:44 143872 ----a-w- c:\windows\system32\javacpl.cpl
2012-08-03 16:42 . 2012-02-27 13:10 687600 ----a-w- c:\windows\system32\deployJava1.dll
2012-08-03 16:37 . 2012-05-23 07:35 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-03 16:37 . 2011-12-28 12:49 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-25 18:34 . 2012-01-10 16:29 102400 ----a-w- c:\windows\RegBootClean.exe
2012-06-15 04:51 . 2012-05-23 09:10 81408 ----a-w- c:\windows\system32\pdfcmon.dll
2012-05-05 12:44 . 2011-12-28 16:04 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
1997-07-22 03:30 1045776 --sha-w- c:\windows\system32\Msjet35.dll
1997-06-23 11:00 123664 --sha-w- c:\windows\system32\Msjint35.dll
1997-06-23 20:06 24848 --sha-w- c:\windows\system32\Msjter35.dll
1997-06-23 20:06 252176 --sha-w- c:\windows\system32\Msrd2x35.dll
1997-06-23 20:06 287504 --sha-w- c:\windows\system32\Msxbse35.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-08-06 . 081C380A75934AF96C9CE04C2DB379F6 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2011-01-04 488816]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2011-01-24 536668]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-07-07 737280]
"IntelZeroConfig"="c:\program files\Intel\WiFi\bin\ZCfgSvc.exe" [2011-01-12 1403152]
"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2011-01-05 1210640]
"FreeFallProtection"="c:\program files\STMicroelectronics\AccelerometerP11\FF_Protection.exe" [2011-02-15 686704]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2010-11-02 866592]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-09-16 142616]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-09-16 183576]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-09-16 167704]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="c:\program files\Brother\Brmfl06a\BrStDvPt.exe" [2005-01-26 49152]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\dapi\Menu Démarrer\Programmes\Démarrage\
Stickies.lnk - c:\program files\Stickies\stickies.exe [2011-12-28 1130496]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"consentpromptbehavioradmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"SoftwareSASGeneration"= 3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoAutorun"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1129\Scripts\Logon\0\0]
"Script"=Deploy_Office_2007.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1129\Scripts\Logon\1\0]
"Script"=GlobalLogonScript.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1129\Scripts\Logon\2\0]
"Script"=%windir%\regedit.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1332\Scripts\Logon\0\0]
"Script"=Deploy_Office_2007.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1332\Scripts\Logon\1\0]
"Script"=GlobalLogonScript.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1332\Scripts\Logon\2\0]
"Script"=%windir%\regedit.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrMfcWnd]
2006-06-28 05:46 622592 ------w- c:\program files\Brother\Brmfcmon\BrMfcWnd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter3]
2006-06-29 10:18 77824 ----a-w- c:\program files\Brother\ControlCenter3\BrCtrCen.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaSuite.exe]
2011-11-01 14:40 1053056 ----a-w- c:\program files\Nokia\Nokia Suite\NokiaSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2005-03-17 17:17 57393 ----a-w- c:\program files\ScanSoft\PaperPort\pptd40nt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"20536:TCP"= 20536:TCP:Trend Micro OfficeScan Listener
.
R0 stdcfltn;Disk Class Filter Driver for Accelerometer;c:\windows\system32\drivers\stdcfltn.sys [24/06/2011 12:01 17648]
R2 BrcmMgmtAgent;Broadcom Management Agent;c:\program files\Broadcom\MgmtAgent\BrcmMgmtAgent.exe [29/06/2010 16:11 127488]
R2 OCS Inventory Service;OCS Inventory Service;c:\program files\OCS Inventory Agent\OcsService.exe [08/05/2011 17:17 35840]
R2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [23/12/2011 15:02 52304]
R2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXpflt.sys [12/07/2011 10:44 262416]
R2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\TmPreflt.sys [12/07/2011 10:43 36624]
R2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [23/06/2011 16:48 2656280]
R3 Acceler;Accelerometer Service;c:\windows\system32\drivers\Accelern.sys [24/06/2011 12:01 43888]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [23/06/2011 16:48 113664]
R3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\drivers\IntcDAud.sys [23/06/2011 16:58 260864]
R3 MEI;Intel(R) Management Engine Interface;c:\windows\system32\drivers\HECI.sys [23/06/2011 16:48 41088]
R3 NETwNx32;___ Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows XP 32 bits ;c:\windows\system32\drivers\NETwNx32.sys [24/06/2011 11:57 7391744]
R3 O2MDRRDR;O2MDRRDR;c:\windows\system32\drivers\o2mdrxp.sys [24/06/2011 11:51 61728]
R3 O2SDJRDR;O2SDJRDR;c:\windows\system32\drivers\o2sdjxp.sys [24/06/2011 11:51 63976]
S2 O2SDIOAssist;O2SDIOAssist;c:\windows\system32\srvany.exe [24/06/2011 11:51 8192]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [28/04/2012 17:08 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [28/04/2012 17:06 51968]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [05/05/2012 14:44 129976]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [24/02/2012 16:12 137472]
S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;c:\oracle\Ora81\bin\ONRSD.EXE [25/01/2000 18:00 408568]
S3 TmProxy;OfficeScan NT Proxy Service;c:\program files\Trend Micro\OfficeScan Client\TmProxy.exe [15/07/2009 17:37 689416]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - BASFND
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: s2gs.lille
Trusted Zone: s2gs.lyon
Trusted Zone: s2gs.marseille
Trusted Zone: servsites
Trusted Zone: sites.fr
Trusted Zone: sites.fr\s2gs
Trusted Zone: sites.fr\s2gs.lyon-admin
Trusted Zone: sites.fr\s2gs.lyon-muguet
Trusted Zone: sites.fr\s2gs.nord
Trusted Zone: sites.fr\s2gs.paca
Trusted Zone: sites.fr\s2gs.ra
Trusted Zone: sites.fr\s2gs.rueil
Trusted Zone: sites.fr\webmail
Trusted Zone: s2gs.lille
Trusted Zone: s2gs.lyon
Trusted Zone: s2gs.marseille
Trusted Zone: servsites
Trusted Zone: sites.fr
Trusted Zone: sites.fr\s2gs
Trusted Zone: sites.fr\s2gs.lyon-admin
Trusted Zone: sites.fr\s2gs.lyon-muguet
Trusted Zone: sites.fr\s2gs.nord
Trusted Zone: sites.fr\s2gs.paca
Trusted Zone: sites.fr\s2gs.ra
Trusted Zone: sites.fr\s2gs.rueil
Trusted Zone: sites.fr\webmail
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
DPF: {31E2441C-E533-45CA-A85B-C9A3C3B89A67} - hxxp://s2gs.lyon-muguet.sites.fr/deploy_active/imputation.CAB
DPF: {36073603-A883-4A94-B4C4-9A680C608344} - hxxp://s2gs.lyon-admin.sites.fr/deploy_active/imputation.CAB
DPF: {4B1EC5E3-BD1F-40D6-8B66-37C4B13C6E3F} - hxxp://s2gs.lyon-muguet.sites.fr/deploy_active/imputation.CAB
FF - ProfilePath - c:\documents and settings\dapi\Application Data\Mozilla\Firefox\Profiles\o0y736a8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-05 23:11
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(948)
c:\windows\system32\igfxdev.dll
.
Heure de fin: 2012-07-05 23:13:14
ComboFix-quarantined-files.txt 2012-07-05 21:13
.
Avant-CF: 238 616 231 936 octets libres
Après-CF: 238 673 133 568 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 0996B4CDDB60D80455F24087C978AC1C
re
un ordi professionnel avec un windows XP refait avec nlite ??, bizarre ton histoire....
bref j'ai perdu pour le proxy ^^
===========
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
Folder::
c:\documents and settings\dapi\Application Data\pdfforge
c:\documents and settings\dapi\Application Data\Zacog
c:\documents and settings\dapi\Application Data\Yfodak
c:\documents and settings\dapi\Application Data\Zoiluf
c:\documents and settings\dapi\Application Data\Nouzod
c:\documents and settings\dapi\Application Data\Ilov
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
un ordi professionnel avec un windows XP refait avec nlite ??, bizarre ton histoire....
bref j'ai perdu pour le proxy ^^
===========
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
Folder::
c:\documents and settings\dapi\Application Data\pdfforge
c:\documents and settings\dapi\Application Data\Zacog
c:\documents and settings\dapi\Application Data\Yfodak
c:\documents and settings\dapi\Application Data\Zoiluf
c:\documents and settings\dapi\Application Data\Nouzod
c:\documents and settings\dapi\Application Data\Ilov
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
voici le rapport :
ComboFix 12-07-05.04 - dapi 08/07/2012 13:31:46.2.4 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3241.2445 [GMT 2:00]
Lancé depuis: c:\documents and settings\dapi\Bureau\damnshit.exe
Commutateurs utilisés :: c:\documents and settings\dapi\Bureau\CFScript.txt
AV: Antivirus Trend Micro OfficeScan *Enabled/Updated* {643550F4-314D-482B-A0E8-EAE05CB270D3}
* Un antivirus résident est actif
.
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\dapi\Application Data\Ilov
c:\documents and settings\dapi\Application Data\Ilov\gida.sao
c:\documents and settings\dapi\Application Data\Nouzod
c:\documents and settings\dapi\Application Data\pdfforge
c:\documents and settings\dapi\Application Data\pdfforge\Images2PDF\Images2PDF.settings
c:\documents and settings\dapi\Application Data\Yfodak
c:\documents and settings\dapi\Application Data\Yfodak\feboy.apx
c:\documents and settings\dapi\Application Data\Zacog
c:\documents and settings\dapi\Application Data\Zoiluf
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-08 au 2012-07-08 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-03 18:10 . 2012-08-03 18:10 -------- d-----w- c:\documents and settings\dapi\Local Settings\Application Data\Temp
2012-08-03 16:50 . 2012-08-03 16:50 -------- d-sh--w- c:\documents and settings\dapi\PrivacIE
2012-08-03 16:47 . 2012-08-03 16:47 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2012-08-03 16:46 . 2012-08-03 16:46 -------- d-sh--w- c:\documents and settings\dapi\IETldCache
2012-08-03 16:43 . 2012-08-03 16:43 -------- d-----w- c:\program files\Fichiers communs\Java
2012-08-03 16:43 . 2012-08-03 16:42 772592 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-08-03 16:39 . 2012-08-03 16:41 -------- dc-h--w- c:\windows\ie8
2012-08-03 16:32 . 2012-08-03 16:33 -------- d-----w- c:\program files\Fichiers communs\Adobe
2012-08-03 16:28 . 2004-03-08 23:00 662288 ----a-w- c:\windows\system32\MSCOMCT2.OCX
2012-08-03 16:28 . 1998-06-23 23:00 137000 ----a-w- c:\windows\system32\MSMAPI32.OCX
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\program files\PDFCreator
2012-08-03 16:28 . 1998-07-13 00:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
2012-08-03 16:28 . 1998-07-13 00:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2012-08-03 16:28 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Premium
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\documents and settings\All Users\Application Data\InstallMate
2012-08-03 16:22 . 2012-08-03 16:22 -------- d-----w- c:\program files\FileHippo.com
2012-08-03 13:19 . 2012-08-03 17:09 -------- d-----w- C:\Pre_Scan
2012-07-31 13:00 . 2012-07-31 13:00 -------- d-----r- c:\documents and settings\dapi\Application Data\Brother
2012-07-05 21:04 . 2012-07-05 21:13 -------- d-----w- C:\damnshit
2012-06-18 17:08 . 2012-06-18 17:08 -------- d-----w- c:\program files\uTorrent
2012-06-18 17:05 . 2012-06-20 17:20 -------- d-----w- c:\documents and settings\dapi\Application Data\uTorrent
2012-06-12 09:30 . 2012-06-12 09:30 -------- d-----w- c:\program files\Broadcom
2012-06-12 09:28 . 2012-06-12 09:28 -------- d-----w- c:\documents and settings\dapi\Local Settings\Application Data\Downloaded Installations
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-03 16:42 . 2012-02-28 08:44 143872 ----a-w- c:\windows\system32\javacpl.cpl
2012-08-03 16:42 . 2012-02-27 13:10 687600 ----a-w- c:\windows\system32\deployJava1.dll
2012-08-03 16:37 . 2012-05-23 07:35 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-03 16:37 . 2011-12-28 12:49 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-25 18:34 . 2012-01-10 16:29 102400 ----a-w- c:\windows\RegBootClean.exe
2012-06-15 04:51 . 2012-05-23 09:10 81408 ----a-w- c:\windows\system32\pdfcmon.dll
2012-05-05 12:44 . 2011-12-28 16:04 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
1997-07-22 03:30 1045776 --sha-w- c:\windows\system32\Msjet35.dll
1997-06-23 11:00 123664 --sha-w- c:\windows\system32\Msjint35.dll
1997-06-23 20:06 24848 --sha-w- c:\windows\system32\Msjter35.dll
1997-06-23 20:06 252176 --sha-w- c:\windows\system32\Msrd2x35.dll
1997-06-23 20:06 287504 --sha-w- c:\windows\system32\Msxbse35.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-08-06 . 081C380A75934AF96C9CE04C2DB379F6 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2012-07-05_21.11.52 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-07-08 11:38 . 2012-07-08 11:38 16384 c:\windows\Temp\Perflib_Perfdata_3c8.dat
+ 2012-07-08 11:38 . 2012-07-08 11:38 16384 c:\windows\Temp\Perflib_Perfdata_2e4.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2011-01-04 488816]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2011-01-24 536668]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-07-07 737280]
"IntelZeroConfig"="c:\program files\Intel\WiFi\bin\ZCfgSvc.exe" [2011-01-12 1403152]
"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2011-01-05 1210640]
"FreeFallProtection"="c:\program files\STMicroelectronics\AccelerometerP11\FF_Protection.exe" [2011-02-15 686704]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2010-11-02 866592]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-09-16 142616]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-09-16 183576]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-09-16 167704]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="c:\program files\Brother\Brmfl06a\BrStDvPt.exe" [2005-01-26 49152]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\dapi\Menu Démarrer\Programmes\Démarrage\
Stickies.lnk - c:\program files\Stickies\stickies.exe [2011-12-28 1130496]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"consentpromptbehavioradmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"SoftwareSASGeneration"= 3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoAutorun"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1129\Scripts\Logon\0\0]
"Script"=Deploy_Office_2007.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1129\Scripts\Logon\1\0]
"Script"=GlobalLogonScript.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1129\Scripts\Logon\2\0]
"Script"=%windir%\regedit.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1332\Scripts\Logon\0\0]
"Script"=Deploy_Office_2007.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1332\Scripts\Logon\1\0]
"Script"=GlobalLogonScript.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1332\Scripts\Logon\2\0]
"Script"=%windir%\regedit.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrMfcWnd]
2006-06-28 05:46 622592 ------w- c:\program files\Brother\Brmfcmon\BrMfcWnd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter3]
2006-06-29 10:18 77824 ----a-w- c:\program files\Brother\ControlCenter3\BrCtrCen.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaSuite.exe]
2011-11-01 14:40 1053056 ----a-w- c:\program files\Nokia\Nokia Suite\NokiaSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2005-03-17 17:17 57393 ----a-w- c:\program files\ScanSoft\PaperPort\pptd40nt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"20536:TCP"= 20536:TCP:Trend Micro OfficeScan Listener
.
R0 stdcfltn;Disk Class Filter Driver for Accelerometer;c:\windows\system32\drivers\stdcfltn.sys [24/06/2011 12:01 17648]
R2 BrcmMgmtAgent;Broadcom Management Agent;c:\program files\Broadcom\MgmtAgent\BrcmMgmtAgent.exe [29/06/2010 16:11 127488]
R2 O2SDIOAssist;O2SDIOAssist;c:\windows\system32\srvany.exe [24/06/2011 11:51 8192]
R2 OCS Inventory Service;OCS Inventory Service;c:\program files\OCS Inventory Agent\OcsService.exe [08/05/2011 17:17 35840]
R2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [23/12/2011 15:02 52304]
R2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXpflt.sys [12/07/2011 10:44 262416]
R2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\TmPreflt.sys [12/07/2011 10:43 36624]
R2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [23/06/2011 16:48 2656280]
R3 Acceler;Accelerometer Service;c:\windows\system32\drivers\Accelern.sys [24/06/2011 12:01 43888]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [23/06/2011 16:48 113664]
R3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\drivers\IntcDAud.sys [23/06/2011 16:58 260864]
R3 MEI;Intel(R) Management Engine Interface;c:\windows\system32\drivers\HECI.sys [23/06/2011 16:48 41088]
R3 NETwNx32;___ Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows XP 32 bits ;c:\windows\system32\drivers\NETwNx32.sys [24/06/2011 11:57 7391744]
R3 O2MDRRDR;O2MDRRDR;c:\windows\system32\drivers\o2mdrxp.sys [24/06/2011 11:51 61728]
R3 O2SDJRDR;O2SDJRDR;c:\windows\system32\drivers\o2sdjxp.sys [24/06/2011 11:51 63976]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [28/04/2012 17:08 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [28/04/2012 17:06 51968]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [05/05/2012 14:44 129976]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [24/02/2012 16:12 137472]
S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;c:\oracle\Ora81\bin\ONRSD.EXE [25/01/2000 18:00 408568]
S3 TmProxy;OfficeScan NT Proxy Service;c:\program files\Trend Micro\OfficeScan Client\TmProxy.exe [15/07/2009 17:37 689416]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: s2gs.lille
Trusted Zone: s2gs.lyon
Trusted Zone: s2gs.marseille
Trusted Zone: servsites
Trusted Zone: sites.fr
Trusted Zone: sites.fr\s2gs
Trusted Zone: sites.fr\s2gs.lyon-admin
Trusted Zone: sites.fr\s2gs.lyon-muguet
Trusted Zone: sites.fr\s2gs.nord
Trusted Zone: sites.fr\s2gs.paca
Trusted Zone: sites.fr\s2gs.ra
Trusted Zone: sites.fr\s2gs.rueil
Trusted Zone: sites.fr\webmail
Trusted Zone: s2gs.lille
Trusted Zone: s2gs.lyon
Trusted Zone: s2gs.marseille
Trusted Zone: servsites
Trusted Zone: sites.fr
Trusted Zone: sites.fr\s2gs
Trusted Zone: sites.fr\s2gs.lyon-admin
Trusted Zone: sites.fr\s2gs.lyon-muguet
Trusted Zone: sites.fr\s2gs.nord
Trusted Zone: sites.fr\s2gs.paca
Trusted Zone: sites.fr\s2gs.ra
Trusted Zone: sites.fr\s2gs.rueil
Trusted Zone: sites.fr\webmail
DPF: {31E2441C-E533-45CA-A85B-C9A3C3B89A67} - hxxp://s2gs.lyon-muguet.sites.fr/deploy_active/imputation.CAB
DPF: {36073603-A883-4A94-B4C4-9A680C608344} - hxxp://s2gs.lyon-admin.sites.fr/deploy_active/imputation.CAB
DPF: {4B1EC5E3-BD1F-40D6-8B66-37C4B13C6E3F} - hxxp://s2gs.lyon-muguet.sites.fr/deploy_active/imputation.CAB
FF - ProfilePath - c:\documents and settings\dapi\Application Data\Mozilla\Firefox\Profiles\o0y736a8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-08 14:10
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
c:\docume~1\dapi\LOCALS~1\Temp\catchme.dll 53248 bytes executable
.
Scan terminé avec succès
Fichiers cachés: 1
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(2192)
c:\windows\system32\webcheck.dll
c:\windows\system32\IEFRAME.dll
c:\windows\system32\msls31.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Intel\WiFi\bin\S24EvMon.exe
c:\program files\Intel\WiFi\bin\WLKeeper.exe
c:\program files\IDT\WDM\stacsv.exe
c:\program files\Java\jre7\bin\jqs.exe
c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files\Trend Micro\OfficeScan Client\ntrtscan.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\DRIVERS\o2flash.exe
c:\windows\system32\SDIOAssist.exe
c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Trend Micro\OfficeScan Client\tmlisten.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
c:\program files\Trend Micro\BM\TMBMSRV.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\HidFind.exe
c:\program files\DellTPad\Apntex.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2012-07-08 14:12:41 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-07-08 12:12
ComboFix2.txt 2012-07-05 21:13
.
Avant-CF: 238 695 407 616 octets libres
Après-CF: 238 608 347 136 octets libres
.
- - End Of File - - E968FAC277974BF71FD4AFE8054245BD
ComboFix 12-07-05.04 - dapi 08/07/2012 13:31:46.2.4 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3241.2445 [GMT 2:00]
Lancé depuis: c:\documents and settings\dapi\Bureau\damnshit.exe
Commutateurs utilisés :: c:\documents and settings\dapi\Bureau\CFScript.txt
AV: Antivirus Trend Micro OfficeScan *Enabled/Updated* {643550F4-314D-482B-A0E8-EAE05CB270D3}
* Un antivirus résident est actif
.
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\dapi\Application Data\Ilov
c:\documents and settings\dapi\Application Data\Ilov\gida.sao
c:\documents and settings\dapi\Application Data\Nouzod
c:\documents and settings\dapi\Application Data\pdfforge
c:\documents and settings\dapi\Application Data\pdfforge\Images2PDF\Images2PDF.settings
c:\documents and settings\dapi\Application Data\Yfodak
c:\documents and settings\dapi\Application Data\Yfodak\feboy.apx
c:\documents and settings\dapi\Application Data\Zacog
c:\documents and settings\dapi\Application Data\Zoiluf
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-08 au 2012-07-08 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-03 18:10 . 2012-08-03 18:10 -------- d-----w- c:\documents and settings\dapi\Local Settings\Application Data\Temp
2012-08-03 16:50 . 2012-08-03 16:50 -------- d-sh--w- c:\documents and settings\dapi\PrivacIE
2012-08-03 16:47 . 2012-08-03 16:47 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2012-08-03 16:46 . 2012-08-03 16:46 -------- d-sh--w- c:\documents and settings\dapi\IETldCache
2012-08-03 16:43 . 2012-08-03 16:43 -------- d-----w- c:\program files\Fichiers communs\Java
2012-08-03 16:43 . 2012-08-03 16:42 772592 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-08-03 16:39 . 2012-08-03 16:41 -------- dc-h--w- c:\windows\ie8
2012-08-03 16:32 . 2012-08-03 16:33 -------- d-----w- c:\program files\Fichiers communs\Adobe
2012-08-03 16:28 . 2004-03-08 23:00 662288 ----a-w- c:\windows\system32\MSCOMCT2.OCX
2012-08-03 16:28 . 1998-06-23 23:00 137000 ----a-w- c:\windows\system32\MSMAPI32.OCX
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\program files\PDFCreator
2012-08-03 16:28 . 1998-07-13 00:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
2012-08-03 16:28 . 1998-07-13 00:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2012-08-03 16:28 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Premium
2012-08-03 16:28 . 2012-08-03 16:28 -------- d-----w- c:\documents and settings\All Users\Application Data\InstallMate
2012-08-03 16:22 . 2012-08-03 16:22 -------- d-----w- c:\program files\FileHippo.com
2012-08-03 13:19 . 2012-08-03 17:09 -------- d-----w- C:\Pre_Scan
2012-07-31 13:00 . 2012-07-31 13:00 -------- d-----r- c:\documents and settings\dapi\Application Data\Brother
2012-07-05 21:04 . 2012-07-05 21:13 -------- d-----w- C:\damnshit
2012-06-18 17:08 . 2012-06-18 17:08 -------- d-----w- c:\program files\uTorrent
2012-06-18 17:05 . 2012-06-20 17:20 -------- d-----w- c:\documents and settings\dapi\Application Data\uTorrent
2012-06-12 09:30 . 2012-06-12 09:30 -------- d-----w- c:\program files\Broadcom
2012-06-12 09:28 . 2012-06-12 09:28 -------- d-----w- c:\documents and settings\dapi\Local Settings\Application Data\Downloaded Installations
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-03 16:42 . 2012-02-28 08:44 143872 ----a-w- c:\windows\system32\javacpl.cpl
2012-08-03 16:42 . 2012-02-27 13:10 687600 ----a-w- c:\windows\system32\deployJava1.dll
2012-08-03 16:37 . 2012-05-23 07:35 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-03 16:37 . 2011-12-28 12:49 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-25 18:34 . 2012-01-10 16:29 102400 ----a-w- c:\windows\RegBootClean.exe
2012-06-15 04:51 . 2012-05-23 09:10 81408 ----a-w- c:\windows\system32\pdfcmon.dll
2012-05-05 12:44 . 2011-12-28 16:04 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
1997-07-22 03:30 1045776 --sha-w- c:\windows\system32\Msjet35.dll
1997-06-23 11:00 123664 --sha-w- c:\windows\system32\Msjint35.dll
1997-06-23 20:06 24848 --sha-w- c:\windows\system32\Msjter35.dll
1997-06-23 20:06 252176 --sha-w- c:\windows\system32\Msrd2x35.dll
1997-06-23 20:06 287504 --sha-w- c:\windows\system32\Msxbse35.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-08-06 . 081C380A75934AF96C9CE04C2DB379F6 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2012-07-05_21.11.52 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-07-08 11:38 . 2012-07-08 11:38 16384 c:\windows\Temp\Perflib_Perfdata_3c8.dat
+ 2012-07-08 11:38 . 2012-07-08 11:38 16384 c:\windows\Temp\Perflib_Perfdata_2e4.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2011-01-04 488816]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2011-01-24 536668]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-07-07 737280]
"IntelZeroConfig"="c:\program files\Intel\WiFi\bin\ZCfgSvc.exe" [2011-01-12 1403152]
"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2011-01-05 1210640]
"FreeFallProtection"="c:\program files\STMicroelectronics\AccelerometerP11\FF_Protection.exe" [2011-02-15 686704]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2010-11-02 866592]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-09-16 142616]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-09-16 183576]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-09-16 167704]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="c:\program files\Brother\Brmfl06a\BrStDvPt.exe" [2005-01-26 49152]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\dapi\Menu Démarrer\Programmes\Démarrage\
Stickies.lnk - c:\program files\Stickies\stickies.exe [2011-12-28 1130496]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"consentpromptbehavioradmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"SoftwareSASGeneration"= 3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoAutorun"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1129\Scripts\Logon\0\0]
"Script"=Deploy_Office_2007.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1129\Scripts\Logon\1\0]
"Script"=GlobalLogonScript.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1129\Scripts\Logon\2\0]
"Script"=%windir%\regedit.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1332\Scripts\Logon\0\0]
"Script"=Deploy_Office_2007.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1332\Scripts\Logon\1\0]
"Script"=GlobalLogonScript.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2953226908-1601920482-2538903436-1332\Scripts\Logon\2\0]
"Script"=%windir%\regedit.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrMfcWnd]
2006-06-28 05:46 622592 ------w- c:\program files\Brother\Brmfcmon\BrMfcWnd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter3]
2006-06-29 10:18 77824 ----a-w- c:\program files\Brother\ControlCenter3\BrCtrCen.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaSuite.exe]
2011-11-01 14:40 1053056 ----a-w- c:\program files\Nokia\Nokia Suite\NokiaSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2005-03-17 17:17 57393 ----a-w- c:\program files\ScanSoft\PaperPort\pptd40nt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"20536:TCP"= 20536:TCP:Trend Micro OfficeScan Listener
.
R0 stdcfltn;Disk Class Filter Driver for Accelerometer;c:\windows\system32\drivers\stdcfltn.sys [24/06/2011 12:01 17648]
R2 BrcmMgmtAgent;Broadcom Management Agent;c:\program files\Broadcom\MgmtAgent\BrcmMgmtAgent.exe [29/06/2010 16:11 127488]
R2 O2SDIOAssist;O2SDIOAssist;c:\windows\system32\srvany.exe [24/06/2011 11:51 8192]
R2 OCS Inventory Service;OCS Inventory Service;c:\program files\OCS Inventory Agent\OcsService.exe [08/05/2011 17:17 35840]
R2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [23/12/2011 15:02 52304]
R2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXpflt.sys [12/07/2011 10:44 262416]
R2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\TmPreflt.sys [12/07/2011 10:43 36624]
R2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [23/06/2011 16:48 2656280]
R3 Acceler;Accelerometer Service;c:\windows\system32\drivers\Accelern.sys [24/06/2011 12:01 43888]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [23/06/2011 16:48 113664]
R3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\drivers\IntcDAud.sys [23/06/2011 16:58 260864]
R3 MEI;Intel(R) Management Engine Interface;c:\windows\system32\drivers\HECI.sys [23/06/2011 16:48 41088]
R3 NETwNx32;___ Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows XP 32 bits ;c:\windows\system32\drivers\NETwNx32.sys [24/06/2011 11:57 7391744]
R3 O2MDRRDR;O2MDRRDR;c:\windows\system32\drivers\o2mdrxp.sys [24/06/2011 11:51 61728]
R3 O2SDJRDR;O2SDJRDR;c:\windows\system32\drivers\o2sdjxp.sys [24/06/2011 11:51 63976]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [28/04/2012 17:08 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [28/04/2012 17:06 51968]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [05/05/2012 14:44 129976]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [24/02/2012 16:12 137472]
S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;c:\oracle\Ora81\bin\ONRSD.EXE [25/01/2000 18:00 408568]
S3 TmProxy;OfficeScan NT Proxy Service;c:\program files\Trend Micro\OfficeScan Client\TmProxy.exe [15/07/2009 17:37 689416]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: s2gs.lille
Trusted Zone: s2gs.lyon
Trusted Zone: s2gs.marseille
Trusted Zone: servsites
Trusted Zone: sites.fr
Trusted Zone: sites.fr\s2gs
Trusted Zone: sites.fr\s2gs.lyon-admin
Trusted Zone: sites.fr\s2gs.lyon-muguet
Trusted Zone: sites.fr\s2gs.nord
Trusted Zone: sites.fr\s2gs.paca
Trusted Zone: sites.fr\s2gs.ra
Trusted Zone: sites.fr\s2gs.rueil
Trusted Zone: sites.fr\webmail
Trusted Zone: s2gs.lille
Trusted Zone: s2gs.lyon
Trusted Zone: s2gs.marseille
Trusted Zone: servsites
Trusted Zone: sites.fr
Trusted Zone: sites.fr\s2gs
Trusted Zone: sites.fr\s2gs.lyon-admin
Trusted Zone: sites.fr\s2gs.lyon-muguet
Trusted Zone: sites.fr\s2gs.nord
Trusted Zone: sites.fr\s2gs.paca
Trusted Zone: sites.fr\s2gs.ra
Trusted Zone: sites.fr\s2gs.rueil
Trusted Zone: sites.fr\webmail
DPF: {31E2441C-E533-45CA-A85B-C9A3C3B89A67} - hxxp://s2gs.lyon-muguet.sites.fr/deploy_active/imputation.CAB
DPF: {36073603-A883-4A94-B4C4-9A680C608344} - hxxp://s2gs.lyon-admin.sites.fr/deploy_active/imputation.CAB
DPF: {4B1EC5E3-BD1F-40D6-8B66-37C4B13C6E3F} - hxxp://s2gs.lyon-muguet.sites.fr/deploy_active/imputation.CAB
FF - ProfilePath - c:\documents and settings\dapi\Application Data\Mozilla\Firefox\Profiles\o0y736a8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-08 14:10
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
c:\docume~1\dapi\LOCALS~1\Temp\catchme.dll 53248 bytes executable
.
Scan terminé avec succès
Fichiers cachés: 1
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(2192)
c:\windows\system32\webcheck.dll
c:\windows\system32\IEFRAME.dll
c:\windows\system32\msls31.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Intel\WiFi\bin\S24EvMon.exe
c:\program files\Intel\WiFi\bin\WLKeeper.exe
c:\program files\IDT\WDM\stacsv.exe
c:\program files\Java\jre7\bin\jqs.exe
c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files\Trend Micro\OfficeScan Client\ntrtscan.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\DRIVERS\o2flash.exe
c:\windows\system32\SDIOAssist.exe
c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Trend Micro\OfficeScan Client\tmlisten.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
c:\program files\Trend Micro\BM\TMBMSRV.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\HidFind.exe
c:\program files\DellTPad\Apntex.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2012-07-08 14:12:41 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-07-08 12:12
ComboFix2.txt 2012-07-05 21:13
.
Avant-CF: 238 695 407 616 octets libres
Après-CF: 238 608 347 136 octets libres
.
- - End Of File - - E968FAC277974BF71FD4AFE8054245BD
voici le lien pour le rapport :
https://pjjoint.malekal.com/files.php?id=20120708_p10l8y9u13u12
Merci beaucoup pour ton aide :-)
https://pjjoint.malekal.com/files.php?id=20120708_p10l8y9u13u12
Merci beaucoup pour ton aide :-)
